Getty Images/iStockphoto
Guardrails, un rail de sécurité pour les développements sur GitHub
La jeune pousse veut démocratiser l’intégration de la sécurité aux processus de développement, en jouant sur l’accessibilité économique, mais également sur l’attractivité pour les développeurs.
Guardrails vient de souffler sa première bougie il y a quelques mois. C’est en effet en janvier 2018 que Stefan Streichsbier a fondé cette jeune pousse à Singapour, fort d’une expérience acquise au fil de nombreuses années passées à réaliser des tests d’intrusion ou des audits en vulnérabilités, notamment dans le sud-est asiatique, depuis 8 ans.
Car pendant ce temps, les méthodes de développement ont fortement évolué, avec le passage aux méthodes agiles, puis aux DevOps, accélérant considérablement le cycle de vie des applications. Dans ce contexte, « il n’y a plus de temps pour réaliser un test d’intrusion sur deux semaines, alors qu’en parallèle il y a eu 50 mises à jour ».
Las, selon lui, les outils censés aider à intégrer la sécurité dans les processus de développement « sont conçus pour des acteurs de la sécurité […] il faut être expert pour comprendre ce que restituent ces outils ». Alors, le constat est simple : « les développeurs détestent ces outils ».
Et cela ne s’arrête pas là. Stefan Streichsbier relève que ces outils sont généralement onéreux et, in fine, rarement accessibles à ces multitudes de développeurs qui contribuent à des projets hébergés sur un GitHub et autres composants libres appelés à être, un jour, intégrés à des projets plus vastes : « les personnes qui en auraient le plus besoin ont accès à moins d’outils »…
C’est partant de ces observations que Stefan Streichsbier a décidé de créer Guardrails, afin de rendre « la sécurité accessible au plus grand nombre », tant d’un point de vue économique que pratique, « en tenant compte de l’expérience utilisateur des développeurs ».
Guardrails est donc conçu comme une plateforme visant à rendre facilement accessible des outils de sécurité open source, en les intégrant aux requêtes de tirage GitHub – initialement ; GitLab et Bitbucker seront supportés par la suite. La plateforme procède par analyse statique du code source pour y détecter les vulnérabilités potentielles : utilisation non sécurisée de requêtes SQL, d’expressions régulières, de fonctions puissantes, ou encore authentification mal gérée, gestion de fichiers ou de configuration dangereuse, etc. Les dépendances sont également étudiées sur la base des vulnérabilités connues pour celles-ci. Et la plateforme s’occupe également de repérer les identifiants codés en dur.
L’accent est mis sur la simplicité : « lorsque vous ouvrez une requête de tirage, l’analyse est lancée automatiquement, et les nouveaux problèmes introduits par les modifications de code sont présentés – uniquement ceux-ci ». Les détails relatifs à des vulnérabilités potentielles sont immédiatement accessibles dans la même interface, sans avoir à passer dans une console spécifique.
Avec Guardrails, l’objectif n’est pas de chercher à supprimer toutes les vulnérabilités potentielles, mais les plus évidentes ; celles qui seraient les plus faciles à exploiter pour produire un maximum de dégâts : « il y a tant de vulnérabilités et de vecteurs d’attaques… Surtout, si l’on se limite au Top 10 du classement Owasp, il n’y a pas beaucoup d’évolution au cours des 10 dernières années ».
L’éventail de langages supportés est vaste, entre JavaScript, PHP, Ruby, Java, ou encore Python, notamment. La plateforme est proposée gratuitement pour qui veut se pencher uniquement sur des dépôts de code publics. Pour accéder à des dépôts privés, la tarification commence à 39 $ par mois, pour cinq de ces dépôts. Au-delà, il faut compter à partir de 199 $ par mois, pour un maximum de 25 dépôts privés.