Olivier Le Moal - stock.adobe.co
SCA : Veracode rachète la technologie de Phylum
Veracode étoffe ses capacités d’analyse de la composition logicielle en rachetant la base de données et le pare-feu de gestion de paquets de Phylum.
Veracode a annoncé l’acquisition de « certains actifs » de Phylum, une startup spécialisée dans la sécurisation de la chaîne logistique logicielle. Cette opération au montant non dévoilé implique la reprise des technologies de détection, d’analyse et de remédiation des paquets logiciels malicieux. Installée à Evergreen, au Colorado, Phylum a levé 19,5 millions de dollars depuis la création en 2020. La jeune pousse s’est spécialisée dans la recherche de paquets malicieux au cœur des dépôts open source. Un problème qui affecte non seulement les porteurs de projets au sein des fondations open source, mais également et surtout les entreprises. Suivant une étude de Synopsis, 96 % des bases de code contiennent 77 % de code open source.
Le SCA est à la mode
Considéré comme un risque majeur depuis la faille dans log4j2, la sécurisation des paquets open source est au cœur des préoccupations des éditeurs comme Veracode ou JFrog. Surtout, ces acteurs tentent de consolider des capacités à l’heure où GitHub et GitLab proposent quelques solutions natives à leur plateforme. Veracode est d’abord un spécialiste du SAST, les tests statiques de sécurité des applications, et du DAST, une approche dynamique. Il a lancé une offre SCA d’analyse de composition logicielle à partir de 2019. Un chemin également pris par GitGuardian en 2024, un éditeur français spécialiste de la détection de fuite de secrets souhaitant étendre son portefeuille. Veracode a sans doute considéré qu’il manquait des cordes à son angle. La promesse de Phylum est de superviser automatiquement sept écosystèmes open source : les fournisseurs de paquets npm, PyPi, RubyGems, Crates.io, NuGet, Maven Central et Golang. Selon Phylum, 82 % des trouvailles de son équipe en recherche de sécurité ne sont pas référencées par les autres outils SCA ou publiquement dévoilées. Et elle aurait la capacité de le faire en quasi-temps réel, en sus de fournir un SBOM aux entreprises.
Compléter les acquis de SourceClear
S’il dispose de sa propre équipe de recherche remontant des vulnérabilités exclusives depuis l’intégration de Sourceclear dans l’offre par Broadcom en 2018 (avant le rachat par Thoma Bravo qui en a cédé une grande partie du capital à TA Associates en 2022), Veracode ne couvrait pas les paquets Rust et n’avait pas cette réactivité.
Les actifs repris à Phylum incluent une base de données de paquets malicieux et un « pare-feu » de gestion des paquets.
« En intégrant ces technologies, Veracode renforce sa capacité à offrir un mécanisme de défense proactif contre les infections de réseau, le vol de données et les risques d’exécution de code à distance », justifie l’éditeur. « La solution intégrée sera régie par le moteur de politique intégré et personnalisable de Veracode, fournissant des contrôles efficaces pour la gestion des risques liés aux logiciels libres », assure-t-il.
Une intégration prévue d’ici à la fin du premier semestre 2025.
Pour approfondir sur DevSecOps
-
![]()
Comment Engie est passé au DevSecOps à grande échelle
Par: Alain Clapaud
-
![]()
Défié sur la détection de secrets, GitGuardian diversifie son offre
Par: Gaétan Raoul
-
![]()
Atlassian pousse Jira dans le grand bain du DevSecOps
Par: Beth Pariseau
-
![]()
Veracode Fix : Veracode se lance dans la course à la remédiation « intelligente »
Par: Gaétan Raoul
