Skip to main content
Customers

Salesforce

Salesforce sécurise son pipeline open source avec les analyses Snyk

Secteur d’activité: Tech
Location: San Francisco, California

Products Featured

Snyk Open Source

Use Case

Sécurisation du pipeline des logiciels open source avec les analyses Snyk

Points forts:

Automatisation du processus de revue du code open source

Intégration des scans de sécurité à la plateforme interne de suivi des tâches

Réduction du goulot d’étranglement provoqué par la gestion de plus de 20 demandes de revue mensuelles

Renforcement de la sécurité des logiciels open source avec les scans Snyk

Suppression d’au moins 150 heures de tâches manuelles par an

Le défi : automatiser un processus de revue de la sécurité des logiciels open source particulièrement lent

Salesforce est un éditeur international de logiciels qui a développé la plus grande plateforme de gestion de la relation client au monde. Cette plateforme permet aux entreprises d’unifier leurs données liées au marketing, à la vente, au commerce, aux services et à l’informatique pour bénéficier d’une vision complète de leurs clients. Salesforce crée également des applications métier pour l’automatisation du marketing, l’analyse, le développement d’applications, etc.

Entreprise créatrice de logiciels innovants, Salesforce tient à contribuer à la communauté sous forme de logiciels open source. Ainsi, lorsqu’un employé ou une équipe souhaite distribuer son travail sous licence open source, il doit créer une demande qui sera étudiée sur la base de nombreux critères, en lien avec la sécurité et le respect des licences. Avec environ 20 demandes de ce type chaque mois, ce processus manuel de revue des rapports d’analyses statiques et de correction des problèmes relevés ralentissait la distribution des logiciels open source.

« Comme vous le savez, les revues manuelles prennent beaucoup de temps », explique Amol Deshpande, ingénieur en sécurité des produits de Salesforce. « Les ingénieurs en sécurité ont de nombreuses responsabilités, et il est très difficile pour eux de multiplier les revues tous les mois, en particulier lorsque les demandes sont urgentes. Nous nous sommes dit qu’en automatisant ce processus, nous pourrions peut-être faire gagner du temps aux ingénieurs. »

La solution : déployer des scans de sécurité plug-and-play

Pour simplifier son processus de revue de la sécurité des logiciels open source, Salesforce a décidé de créer un cadre de sécurité plug-and-play prévoyant la réalisation de scans de sécurité avec Snyk et la récupération automatique des résultats. Chaque demande de revue génère un ticket dans la plateforme interne de suivi des tâches, ticket qui est récupéré par un webhook et ajouté à une file d’attente dans RabbitMQ.

Snyk, via sa puissante API, peut alors l’extraire de cette file d’attente, scanner les dépôts de code concernés pour y identifier les vulnérabilités, puis inclure ses rapports dans le ticket d’origine. Les ingénieurs peuvent ainsi accéder aux résultats des scans directement depuis les tickets et n’ont pas besoin d’utiliser les outils des scans de sécurité : ils peuvent approuver les demandes et résoudre les problèmes en quelques minutes.

« Lorsqu’un ingénieur consulte une demande, les rapports sur les vulnérabilités sont déjà joints au ticket », explique Amol Deshpande. « Il lui suffit donc de lire ces rapports et d’approuver la demande ou de contacter les équipes techniques pour qu’elles corrigent les vulnérabilités. Nos ingénieurs vont beaucoup plus vite, car ils ne perdent pas de temps à exécuter les scans ou comprendre comment utiliser les outils de sécurité. »

Scans de sécurité des logiciels open source avec Snyk

Lors de la distribution de logiciels sous licence open source, il est essentiel de réduire le risque encouru par l’entreprise. En effet, des acteurs malveillants peuvent étudier le code ainsi diffusé pour préparer des attaques contre des applications propriétaires reposant sur ce même code open source. Des logiciels open source très utilisés, comme Apache Struts, Tomcat et OpenSSL, ont déjà été compromis, et le nombre de vulnérabilités touchant ce type de logiciel ne cesse d’augmenter. Salesforce ne voulait pas mettre en péril sa réputation ou sa sécurité en distribuant des logiciels open source contenant des vulnérabilités.

« Les logiciels open source constituent l’un des vecteurs d’attaque les plus importants, car lorsqu’une vulnérabilité est identifiée dans un composant open source, toutes les applications et tous les logiciels qui l’utilisent sont aussi en danger », affirme Amol Deshpande. « Les vulnérabilités des logiciels open source ont doublé entre 2018 et 2019. Cette menace est vraiment de plus en plus présente. »

La solution de gestion de la sécurité open source de Snyk aide les entreprises à appréhender ce risque en détectant les vulnérabilités à la fois dans le code open source qu’elles intègrent, mais aussi dans le code qu’elles prévoient de distribuer à la communauté sous cette licence. Snyk fournit également des conseils exploitables pour résoudre tous les problèmes de sécurité détectés. Enfin, Snyk aide les développeurs à gagner du temps lors de la correction des problèmes en triant ceux-ci en fonction de leur gravité et de leur impact potentiel. Salesforce peut désormais utiliser les résultats des analyses de Snyk non seulement pour réduire son exposition interne aux menaces de sécurité, mais aussi s’assurer que le grand public peut utiliser sans crainte ses composants open source.

« Je suis tout à fait favorable à l’automatisation et à l’approche "shift left" », explique Amol Deshpande. « Je suis convaincu que Snyk est un outil majeur pour étendre les efforts de sécurité à l’ensemble d’une organisation. À l’avenir, nous espérons étendre notre implémentation avec une approbation automatique des demandes pour lesquelles les rapports de vulnérabilités sont vides et en déployant plus largement notre nouveau cadre d’analyse basé sur Snyk dans toute l’entreprise pour unifier notre méthodologie de sécurité. »

L’impact : des heures de tâches manuelles économisées

Avec son nouveau cadre de sécurité basé sur Snyk, l’équipe de sécurité produit de Salesforce n’a plus besoin d’étudier manuellement les demandes de publication sous licence open source. Auparavant, l’étude de chaque demande pouvait prendre plusieurs heures. Désormais, les résultats des scans de Snyk sont publiés automatiquement sur les tickets. Les ingénieurs en sécurité peuvent donc consacrer presque 150 heures à d’autres projets ayant un fort impact sur la sécurité. Salesforce est désormais en mesure de publier ses logiciels open source bien plus rapidement, sans pour autant faire de compromis sur la sécurité.

« Auparavant, l’étude de chaque demande pouvait prendre plusieurs heures. Désormais, les résultats des scans de Snyk sont publiés automatiquement sur les tickets. »