alphaspirit - Fotolia
Un framework pour évaluer la sureté du code produit par des prestataires
Le Software Assurance Forum pour l’excellence dans le code vient de publier ses recommandations concrètes pour aider les entreprises à s’assurer d’obtenir de leurs prestataires du code sûr.
La vulnérabilité XCodeGhost a récemment mis en évidence la manière dont des tiers peuvent compromettre la sécurité d’applications développées en sous-traitance, un phénomène également susceptible d’être induit par la réutilisation de composants open source.
C’est dans ce contexte que le Software Assurance Forum pour l’excellence dans le code, le SAFECode, vient de présenter un framework visant à aider les entreprises à s’assurer que le code développé par leurs prestataires est sûr. Dans un communiqué, l’association explique s’être appuyée sur des « exemples concrets d’organisations de renom dont Boeing » pour produire ce qui se veut « une plateforme à partir de laquelle toute organisation peut créer une approche organisationnelle et des processus spécifiques qui répondent à ses besoins métiers et à son profil de risque ».
Car pour Howard Schmidt, directeur général de SAFECode, « le manque de standards uniformes pour évaluer la sécurité d’un logiciel acheté complique les choses. Et s’il ne peut pas y avoir de stratégie clés en mains valide pour tous, le manque de recommandation cohérente, indépendante pour tous les secteurs peut créer de la confusion et affecter la capacité des organisations à évaluer et gérer le risque de manière appropriée ».
Le document de l’association suggère donc trois approches différentes en fonction du contexte, depuis l’évaluation des processus du prestataire sur la base des standards internationaux, jusqu’au test automatisé. Pour l’examen des processus du prestataire, SAFECode renvoie à un guide de pratiques de références publié par ses soins en 2008, et mis à jour en 2011. L’exemple de Boeing est là utilisé pour présenter un modèle de questionnaire relatif aux processus du prestataire.
Les auteurs du framework soulignent que celui-ci se concentre principalement sur les processus du cycle de développement des fournisseurs avec, en particulier, ses pratiques de développement et d’intégration sécurisés, ses règles de gouvernance, et ses processus de réponse aux vulnérabilités.