Actualité
SAN FRANCISCO, March 16, 2010 /PRNewswire/ –
– Offre de la vérification de l’intégrité de logiciel par Coverity aux entreprises inscrites au classement Global 2000
– Extension de l’offre pour la sélection des fournisseurs des entreprises inscrites au Global 2000 pour faire la vérification d’intégrité de logiciel de chaîne d’approvisionnement
Coverity, Inc., le chef de file en intégrité de logiciel dans le marché, a annoncé aujourd’hui qu’il allait fournir un programme de vérification de l’intégrité de logiciel aux entreprises inscrites au Global 2000 aux prises avec des préoccupations relatives aux logiciels critiques. La vérification de l’intégrité de logiciel de Coverity peut mettre à jour les défectuosités des logiciels qui pourraient altérer le comportement, geler les opérations ou diminuer les performances des dispositifs critiques ou des produits. Coverity étendra également cette offre à des fournisseurs des entreprises inscrites au Global 2000 afin de les aider avec la vérification de l’intégrité de logiciel de chaîne d’approvisionnement pour mettre à jour les problèmes relatifs aux composants de tierce partie, des dispositifs et des produits. Tous les détails du programme sont disponibles au http://www.coverity.com.
(Photo : http://www.newscom.com/cgi-bin/prnh/20100315/SF70243-a) (Photo : http://www.newscom.com/cgi-bin/prnh/20100315/SF70243-b) (Photo : http://www.newscom.com/cgi-bin/prnh/20100315/SF70243-c) (Photo : http://www.newscom.com/cgi-bin/prnh/20100315/SF70243-d)
La vérification de l’intégrité de logiciel de Coverity peut aider les dirigeants des entreprises du Global 2000 à répondre à ces deux questions cruciales :
- « Est-ce qu'il y a des défectuosités de logiciel critique à la
livraison de mes produits? »
- « Est-ce qu'il y a des défectuosités de logiciel critique dans les
produits de mes fournisseurs? »
« La complexité des logiciels forme une toute nouvelle classe de risque pour les entreprises inscrites au Global 2000 avec des produits de système critique compris dans toute la chaîne d’approvisionnement de logiciel », a affirmé Seth Hallem. président directeur général de Coverity. « Dorénavant, les entreprises sont responsables à la fois pour les envois de leurs produits et des logiciels de leurs fournisseurs en tierce partie. Coverity pourvoie cette offre pour aider les entreprises inscrites au Global 2000 qui ont des préoccupations quant à la sécurité, d’avoir la visibilité dont ils ont besoin pour évaluer s’ils livrent des logiciels sécuritaires à leurs clients. »
Les résultats associés à cette vérification de l’intégrité de logiciel de Coverity fournissent aux dirigeants et aux équipes de développements des renseignements relatifs à l’intégrité de logiciel critique. Ces renseignements peuvent être :
- Une liste des défectuosités des logiciels dans le code qui opère les
dispositifs critiques, les composés et les produits;
- Les impacts potentiels que peuvent avoir les défectuosités de logiciels
sur le comportement, les opérations et la performance de leurs
produits; et
- La cote générale de l'intégrité de Coverity de leur produit vérifié ou
de code de base, comparant leur intégrité de logiciel contre la moyenne
de ce secteur.
En quoi la complexité des logiciels crée des risques pour les entreprises
Coverity a une expertise approfondie dans l’atténuation de risque des défectuosités de logiciel destiné aux consommateurs et aux entreprises. Depuis 2003, Coverity fournit de l’aide à plus de 750 clients commerciaux, et 250 projets à code source ouvert fait l’analyse de milliards de lignes de code et met à jour des millions de défauts de conceptions de logiciel. Selon le rapport Coverity Scan Open Source (Balayage de code source ouvert de Coverity) réalisé en 2009, plus de 11 200 défauts de code source ouvert ont été éliminés.
« Le défi de la vérification de l’intégrité de logiciel est attribuable à plusieurs facteurs, mais la complexité de la voie combinatoire et la complexité de la couverture des tests sont deux des problèmes principaux auxquels l’entreprise fait face », a expliqué Andy Chou, conseiller scientifique en chef et co-fondateur de Coverity. « Ceci peut être particulièrement éprouvant pour les compagnies qui intègre plusieurs composants logiciels de diverses entreprises et de fournisseurs. »
- Complexité de la voie combinatoire : Chaque composant de logiciel a une
complexité de voie combinatoire propre. Par exemple, un code source
d'un million de lignes de code peut avoir plus d'un millier de
milliards de voies possibles pour les défauts. Lorsque combiné avec un
autre composant de logiciel, la complexité hausse dramatiquement parce
que l'interaction entre les composants peut causer un nouveau
comportement et inattendu qui n'existait pas avant l'intégration. Ce
problème concorde encore plus lorsqu'on intègre des composants de
différents fournisseurs qui utilisent différentes formes de tests et
d'analyse d'intégrité.
- Complexité des couvertures des tests : La complexité des couvertures
des tests est également un défi significatif dans les codes de base
d'importance. La révision manuelle typique du code peut couvrir
seulement un petit fragment du code de base. Le contrôle situationnel
tel que le fonctionnement de l'épreuve, l'essai du module, le contrôle
de la performance et le test de sécurité peut couvrir des portions
importantes des lignes de code mais pratiquement jamais une portion
significative des voies combinatoires. L'analyse de l'intégrité
automatisée de logiciel est exigée pour vérifier le code de base dans
son intégralité et exercer en toute compréhension toutes les voies
possibles qui peuvent contenir des défectuosités.
« La magnitude de la complexité de logiciel des voitures modernes actuelles, des avions et des systèmes critiques est impressionnante », a affirmé Theresa Lanowitz, analyste pour voke, Inc. « La révision manuelle traditionnelle du codage et les scénarios de contrôle sont encore exigés mais ne sont pas suffisant pour mettre à jour tous les risques possibles dans le codage de logiciel. Les systèmes complexes modernes exigent des pratiques transformationnelles qui augmentent l’automatisation pour s’assurer de la qualité du codage avant même que le contrôle commence. Coverity a été à la fine pointe pour fournir de nouvelles méthodes pour résoudre ces problèmes avec les capacités d’analyse de l’intégrité de logiciel qui peuvent analyser des codes de base complexes avec plus de 100 millions de lignes de code. »
Ce problème est également illustré dans un rapport de Coverity sur la sécurité de logiciel. Andreas Gerstinger, ingénieur pour la qualité et la sécurité des logiciels pour Frequentis, un chef de file mondial dans les solutions de communications et de renseignements pour les applications critiques, a affirmé : « En raison du fait que nos produits sont utilisés dans des champs d’applications critiques. Frequentis doit adhérer aux plus hautes normes de sécurité et d’intégrité. Coverity est maintenant un autre pilier crucial de nos procédés relatifs à la qualité. L’analyse statique de Coverity trouve les défectuosités de conception de logiciel qui sont difficiles, sinon impossible, à trouver lors des contrôles et des révisions manuelles de code. Coverity est un complément intéressant à nos procédés existants et nos outils, et c’est également une solution d’amélioration qui a été adoptés avec enthousiasme par toute notre organisation de développement. »
Les entreprises du Global 2000 qui seraient intéressés peuvent s’inscrire pour la vérification de l’intégrité de logiciel en visitant le http://www.coverity.com.
À propos de Coverity
Coverity (http://www.coverity.com), le leader en intégrité de logiciel, est la norme de confiance pour les entreprises qui ont une politique de tolérance zéro pour les défectuosités logicielles. Le portfolio récompensé de Coverity de produits conçu pour l’intégrité de logiciel débusque les défectuosités des logiciels en développement avant que ceux-ci aient un impact dans leurs activités respectives. Plus de 900 clients comptent sur Coverity pour les aider à fournir un logiciel de haute intégrité. Coverity est une compagnie privé basée à San Francisco.
Source : Coverity, Inc.
Categories : PR Newswire.
Loading ...
Derniers commentaires
One Response to Coverity tente d’enrayer les logiciels qui ne sont pas sécuritaires-
Le 14 juillet 2010 à 22:50 par Coverity
Coverity et Armorize lancent une solution clé en main pour permettre aux développeurs de contrôler la qualité et la sécurité de leurs logiciels
Coverity® Static Analysis et Armorize CodeSecure réunis au sein d’une solution unique garantissant l’intégrité logicielle
San Francisco (États-Unis), le 14 juillet 2010 – Coverity, Inc., le spécialiste de l’intégrité logicielle, et Armorize Technologies, l’un des principaux éditeurs de solutions de sécurité des applications, annoncent aujourd’hui l’intégration de leurs produits phares Coverity® Static Analysis et Armorize CodeSecure. Ce partenariat va donner naissance à la première solution permettant d’analyser à la fois la qualité et la sécurité des logiciels. Les développeurs auront ainsi les moyens de détecter les failles de sécurité lors de l’écriture du code, d’y parer efficacement, mais aussi d’analyser la sécurité et la qualité de chaque itération sans avoir à devenir des experts en sécurité ou à utiliser des outils d’audit de la sécurité.
« Malgré les progrès réalisés au cours de ces dix dernières années sur le terrain de la sécurité logicielle, les audits sont toujours effectués en marge du développement, ce qui accroît les risques de vulnérabilité des applications métier les plus essentielles », déclare Caleb Sima, CEO d’Armorize Technologies. « Jusqu’à présent, les développeurs n’avaient d’autre choix que de s’adapter aux exigences en matière de sécurité alors que la seule solution valable pour maîtriser ces risques serait d’adapter la sécurité aux méthodes de travail des développeurs – et non l’inverse. Précisément, notre partenariat constitue un premier pas vers la résolution de ce problème. »
Ce partenariat est source de valeur ajoutée pour les équipes de développement et de sécurité. En voici quelques illustrations :
• Qualité et sécurité réunies dans une solution unique : Coverity et Armorize fusionnent les produits d’analyse de code source les plus précis du marché et les plus utilisés par les équipes de développement et de sécurité.
• Correctifs de sécurité en phase de développement : les développeurs peuvent intervenir plus facilement pour corriger les failles de sécurité et les défauts de qualité prioritaires, tout en maintenant leurs processus actuels de développement et de triage.
• Collaboration avancée entre équipes de sécurité et de développement : cette solution offre des garanties de sécurité sans précédent dès la phase de développement, les développeurs pouvant renforcer les points vulnérables à chaque itération – sans être pour autant des experts en sécurité.
« Chaque jour, les équipes de développement de nos 1 000 clients utilisent Coverity pour résoudre leurs problèmes de qualité les plus complexes. Mais aujourd’hui, ils vont pouvoir également veiller à la sécurité de leurs développements », déclare Seth Hallem, CEO de Coverity, Inc. « Avec leur partenariat, Coverity et Armorize placent la sécurité au cœur du processus quotidien de développement logiciel. Les développeurs seront donc en mesure de garantir la sécurité de leurs codes sans avoir à devenir des experts en sécurité, sans avoir à utiliser des outils d’audit de la sécurité et enfin, sans avoir à repousser leurs délais. Nous donnons les moyens aux équipes de développement de produire des codes sécurisés tout en leur laissant une liberté totale dans leurs méthodes de travail, dans le choix des produits qu’elles développent et dans les processus qu’elles suivent. Il s’agit là d’une avancée majeure dans la mise en œuvre de notre stratégie d’intégrité logicielle. »
La solution intégrée proposée par Coverity et Armorize offre les avantages suivants :
• Visibilité du projet et application des politiques en matière de sécurité : les équipes de sécurité sont automatiquement informées des projets de développement actifs et sont en mesure d’établir des politiques de sécurité conformes aux objectifs de développement, au type d’application et aux normes spécifiques du projet.
• Analyse et résolution en continu : les analyses de sécurité et de qualité sont effectuées automatiquement à chaque modification du code et à chaque itération. Les failles de sécurité sont identifiées et passées en revue par l’équipe de sécurité, puis notifiées automatiquement au développeur concerné et classées par ordre de priorité, preuves à l’appui, au même titre que les vices de qualité – ces opérations s’intégrant en toute transparence au processus de travail existant du développeur.
• Intégrité logicielle et rapport de conformité : les équipes de développement et de sécurité peuvent générer des rapports de qualité et de sécurité en fonction des valeurs de référence de la métrologie informatique, aussi bien dans le cadre d’un projet de développement que d’un audit.
« Les dimensions de résilience et de robustesse des applications touchent aux problématiques de qualité et de sécurité », explique Joseph Feiman, vice-président et associé de Gartner, dans le rapport Gartner Magic Quadrant for Static Application Security Testing Report 2009. « Ces fournisseurs offrent aux éditeurs déjà clients de leurs solutions un moyen facile et pragmatique d’intégrer des tests de sécurité à leur environnement. »
« La sécurité d’une application doit être vérifiée pendant le cycle de vie du logiciel (SLC, software lifecycle). La plupart des éditeurs effectuent des tests SAST via des fonctionnalités intégrées aux plates-formes SLC – des tests d’autant plus fréquents si cette intégration n’entraîne pas de coûts supplémentaires, ou très peu », continue Joseph Feiman.
« Coverity s’est forgé une réputation au sein de la communauté des développeurs en proposant un moyen de détection et de correction des défauts logiciels dès les premiers stades du développement. Cette intégration avec Armorize constitue le prolongement naturel des fonctionnalités de Coverity et permet aux équipes de développement de maîtriser les risques de sécurité tout au long du cycle de vie du logiciel, sans renoncer à leurs produits et processus de travail habituels », déclare Theresa Lanowitz, CEO de Voke Research. « L’intégrité logicielle doit répondre aux problématiques de qualité, de sécurité et de sûreté. Cette intégration est une initiative audacieuse permettant à Coverity de faire son entrée sur le marché de la sécurité et à Armorize de mettre en lumière ses produits de sécurité destinés aux développeurs. »
La solution tout-en-un de Coverity et Armorize sera disponible au quatrième trimestre 2010. Pour en savoir plus ou participer au test de la version bêta, rendez-vous sur le site : Coverity, Inc., Assistez au webinaire sur les secrets d’un développement logiciel en toute quiétude, en présence de Caleb Sima, CEO d’Armorize et d’Andy Chou, co-fondateur et directeur scientifique de Coverity, le 22 juillet 2010. Pour vous inscrire, rendez-vous sur le site : Armorize Technologies.
À propos de Coverity, Inc.
Coverity (www.coverity.com), le spécialiste de l’intégrité logicielle, est le partenaire de confiance des éditeurs adeptes de la « tolérance zéro » en matière de défaillance logicielle. Coverity a développé un portefeuille de solutions performantes, dédiées à l’intégrité logicielle et permettant à ses clients d’identifier les défaillances logicielles avant qu’elles n’affectent l’entreprise et ses activités. Plus de 900 entreprises utilisent la technologie Coverity pour développer des logiciels de qualité supérieure. Coverity est une société non cotée, dont le siège social est établi à San Francisco (États-Unis). Retrouvez-nous sur Twitter ou venez consulter notre blog.
À propos d’Armorize Technologies
Armorize Technologies propose des solutions d’audit de sécurité des applications Web à chaque étape clé du cycle de vie d’un logiciel (SLC). Armorize Appsec Suite intègre l’analyse statique du code source et la surveillance contre l’injection de logiciels malveillants de type cloud. Dotée de la technologie WAF (Web Application Firewall), cette solution garantit la sécurité des applications Web de bout en bout. Le siège social d’Armorize est établi à Santa Clara (Californie, États-Unis), tandis que son centre de R&D se trouve à Taipei (Taïwan). Armorize compte parmi ses clients les poids lourds des secteurs de la finance, des télécommunications, de la technologie et du secteur public dans le monde entier. Venez consulter notre blog.
Georgia Hanias pour Coverity
georgiahanias@cyranomedia.co.uk
http://www.cyranomedia.co.uk
http://www.coverity.com
+44 (0) 7812 211 403