Disponibilité de la bêta ouverte des nouvelles fonctions de reporting de sécurité Snyk
9 novembre 2022
0 minutes de lectureNous sommes heureux d’annoncer la disponibilité de la bêta ouverte des nouvelles fonctions de reporting de sécurité de Snyk. Elles vont permettre aux équipes de développement et de sécurité de bénéficier facilement d’une visibilité complète et détaillée sur le risque pesant sur leurs applications.
Cette nouveauté marque la première étape d’une initiative visant à moderniser et améliorer en continu les services de données de Snyk, initiative démarrée plus tôt cette année par l’acquisition de l’entreprise d’analyse des données TopCoat. Ces nouvelles fonctions de reporting sont un premier pas visant à faire de l’analyse des données une fonction centrale de la plateforme Snyk. De nombreuses autres évolutions suivront. Nous comptons en effet annoncer de nouveaux moyens de générer de la valeur à partir des données de sécurité de Snyk très bientôt.
Les clients Snyk bénéficiant d’une offre Business ou Enterprise peuvent d’ores et déjà accéder à ces fonctions de reporting depuis l’interface. Pour les activer, cliquez sur Settings > Snyk Preview (Paramètres > Aperçu Snyk).
L’importance de la visibilité
Au sein d’une culture DevSecOps, toutes les équipes contribuant au développement d’une application sont aussi responsables de sa sécurisation. Ce type de culture est difficile à étendre et maintenir dans le temps sans une bonne visibilité sur le risque. En effet, sans elle, les équipes et responsables de sécurité ne peuvent pas suivre et évaluer avec précision la posture de sécurité globale de leur organisation. Ils ne peuvent pas non plus hiérarchiser efficacement les activités de correction des équipes de développement, qui se retrouvent à corriger des problèmes qui n’ont rien de prioritaire et perdent ainsi un temps précieux. La conséquence ? Une perte de confiance dans les processus de sécurité.
Malheureusement, il n’est pas simple d’obtenir une bonne visibilité. Les application cloud natives modernes introduisent du risque par l’intermédiaire de nombreux composants : code écrit par les développeurs internes, mais aussi, de plus en plus, via les paquets open source, les conteneurs et l’infrastructure en tant que code. Les outils de sécurité traditionnellement utilisés pour rechercher des vulnérabilités dans ces composants ne sont généralement pas déployés partout, et il en résulte donc des lacunes en matière de visibilité ou des données de rapports disparates. Par ailleurs, les données de sécurité qu’ils génèrent sont souvent complexes, difficiles à interpréter, et ne permettent pas de prendre des mesures concrètes.
Nouvelles fonctions de reporting de Snyk
Les nouvelles fonctions de reporting de Snyk offrent aux équipes de développement et de sécurité la visibilité dont elles ont besoin pour se répartir les responsabilités, discuter de l’imputabilité et mettre en place une remédiation efficace dans toute l’organisation en s’appuyant sur les données.
Elles reposent sur des outils de traitement des données de pointe pour assurer une performance et une fiabilité de haut niveau. Par ailleurs, les rapports couvrent l’ensemble des composants des applications modernes depuis un seul et même endroit, et permettent à tous les utilisateurs de l’organisation d’accéder aux données en fonction de leur rôle. Cerise sur le gâteau, ils sont très simples à utiliser !
En s’appuyant sur les nouvelles fonctions de reporting de Snyk, les utilisateurs peuvent :
Identifier les risques les plus importants, générer des rapports sur ces risques et définir lesquels corriger en priorité
Décrire le type, le nombre et la gravité des vulnérabilités détectées et des applications touchées
Suivre la vitesse et l’avancement des corrections
Consulter des indicateurs à long terme et généraux
Présenter des tendances et communiquer les priorités, l’avancement et les risques aux cadres, membres du conseil d’administration, clients et partenaires
Voyons de plus près certaines des principales fonctions proposées dans la bêta ouverte.
Consultez, analysez et partagez en toute sécurité les données des rapports de sécurité
Snyk a toujours eu pour mission d’aider les développeurs à travailler rapidement et de manière sécurisée. La simplicité d’utilisation et la fluidité des workflows sont deux points particulièrement importants pour bénéficier d’une visibilité sur le risque, et ce sont eux que nous nous sommes concentrés pour retravailler nos fonctions de reporting.
Filtre et tri
Vous pouvez manipuler les rapports de Snyk librement jusqu’à obtenir la vue exacte dont vous avez besoin pour répondre à vos questions en matière de sécurité.
Vous avez également la possibilité de trier et d’ajuster les tableaux pour n’afficher que les colonnes qui vous intéressent. De nouveaux filtres vous permettent d’accéder plus facilement aux données essentielles.
Vous pouvez filtrer les données par produit Snyk (y compris Snyk Code, mais nous y reviendrons) et vous concentrer ainsi sur un type de problème précis. Par exemple, vous pourriez vous intéresser uniquement aux problèmes de vos dépendances open source ou de votre infrastructure en tant que code.
Vous pouvez désormais filtrer par nom de paquet, numéro CVE, numéro CWE, dernière date d’introduction, dernière date de résolution, étiquettes de projet et attributs de projet.
Ces filtres vous seront particulièrement utiles si vous souhaitez identifier rapidement des types de problèmes précis dans des projets donnés. Dans l’exemple suivant, nous avons identifié la vulnérabilité log4shell dans trois projets stratégiques :
Partage de données
Nous avons également revu le partage de données. Les filtres sont désormais persistants dans l’URL de partage. Avec le bouton Copy URL (Copier l’URL) du coin supérieur droit de la page, vous pouvez ainsi partager très facilement l’URL de votre vue avec vos collègues. Dans le même esprit, vous pouvez maintenant exporter vos rapports au format PDF (ou CSV) pour les partager en toute simplicité avec les différentes parties prenantes de l’entreprise.
Une vue unifiée sur le risque dans vos applications
Comme nous l’avons vu, chacun des composants du code source d’une application est susceptible d’introduire un risque. Les fonctions de reporting de Snyk incluent également Snyk Code, ce qui signifie que vous pouvez suivre les problèmes de sécurité introduits par le code développé en interne en plus de ceux issus de vos dépendances open source, conteneurs et configurations d’infrastructure en tant que code, ainsi que générer les rapports correspondants. Vous disposez ainsi d’une visibilité complète sur le risque auquel sont exposées vos applications depuis une interface centralisée, ce qui simplifie considérablement la génération de rapports.
Répondez à différents types de questions relatives à la sécurité
Que vous compariez les corrections apportées par les différentes équipes, vérifiiez la conformité à la liste des 10 principales vulnérabilités OWASP, répondiez à une vulnérabilité critique zero-day ou partagiez une synthèse avec le conseil d’administration, les nouvelles fonctions de reporting de Snyk vous donnent les réponses aux questions précises que vous vous posez en vous fournissant les données nécessaires et les outils dont vous avez besoin pour les analyser.
Nous proposons également des rapports intégrés répondant à des cas d’utilisation variés.
Issues Detail (Détail des problèmes)
Ce rapport fournit une liste complète et détaillée de tous les problèmes identifiés par Snyk dans vos applications. Il est particulièrement utile pour aider les équipes à hiérarchiser les corrections en fonction de la stratégie de gestion des problèmes en place, par exemple sur la base de la gravité, du caractère stratégique du projet ou de son type, de vulnérabilités et expositions courantes(CVE)/CWE, etc. Il peut également vous aider à déterminer si vous vous conformez à des normes spécifiques du secteur, comme le Top 10 de l’OWASP.
Vulnerabilities Detail (Détail des vulnérabilités)
Ce rapport fournit une liste complète et détaillée de toutes les vulnérabilités uniques identifiées par Snyk dans vos applications. Comme le rapport précédent, ce rapport est pensé pour aider les équipes à hiérarchiser les corrections, mais aussi à auditer les applications et déterminer l’exposition à des vulnérabilités bien précises.
Dans l’exemple ci-dessous, nous avons filtré le rapport de sorte à afficher toutes les occurrences de la vulnérabilité log4shell (CVE-2021-44228) au sein de l’ensemble de nos projets open source.
Issues Summary (Résumé des problèmes)
Ce rapport donne un aperçu agrégé et global du risque auquel sont exposées vos applications, en mettant en avant des indicateurs tels que le nombre de problèmes identifiés et résolus, et le délai moyen de résolution. Ce rapport inclut également des graphiques représentant vos fenêtres d’exposition et le délai de résolution sur une période donnée, ainsi qu’un tableau de détail du risque. Il s’agit de l’outil idéal pour mesurer le succès de vos efforts et présenter des informations aux cadres et parties prenantes de l’entreprise.
À l’aide des nouvelles options de tri et de filtrage que nous avons mentionnées précédemment, vous pouvez entrer dans le détail de ces rapports afin de bénéficier de la granularité nécessaire pour répondre aux questions de sécurité que vous vous posez.
Pour des services de données améliorées
La possibilité d’accéder aux données de sécurité, de les analyser et d’en faire des rapports est un élément clé pour gagner la visibilité nécessaire à la mise en place d’un programme de sécurité efficace, bâti sur une confiance réciproque entre les équipes de sécurité et de développement.
Ces nouveautés sont essentielles pour donner à nos clients cette visibilité, mais elles ne sont que le début de l’évolution des fonctions de reporting de Snyk, et plus globalement, de nos services de données. Nous comptons déployer progressivement de nouvelles améliorations, et notamment de nouveaux moyens de sélectionner les données, ainsi que de nouveaux types de rapports intégrés permettant de répondre à des cas d’utilisation sur mesure. Restez à l’affût !
Les fonctions présentées sur cette page sont accessibles en version bêta ouverte pour tout client de Snyk disposant d’une offre Business ou Enterprise. Pour commencer à les utiliser, il vous suffit de les activer sur la page Snyk Preview (Aperçu Snyk) en vous rendant sur Settings > Snyk Preview (Paramètres > Aperçu Snyk).
Cette bêta ouverte fait suite à une bêta fermée et de nombreux tests, mais n’hésitez pas à nous contacter si vous rencontrez le moindre problème.
Plébiscité par les développeurs. Sécurité assurée.
Les outils au service des développeurs de Snyk proposent une sécurité intégrée et automatisée qui répond à vos besoins de gouvernance et de conformité.