Le défi : suivre les vulnérabilités du code open source de l’ensemble de la chaîne d’approvisionnement logicielle
Le groupe ShopBack est la plus grande plateforme de shopping, récompenses et paiement d’Asie-Pacifique, avec pas moins de 38 millions d’utilisateurs. Elle travaille avec plus de 15 000 marchands en ligne et physiques, et génère pour plus de 3,7 milliards de dollars de ventes annuelles.
L’année dernière, ShopBack a commencé à proposer des services financiers via des offres nommées ShopBack Pay et PayLater. Plus de 300 développeurs basés à Singapour, au Vietnam et à Taïwan travaillent à la maintenance et au développement de la plateforme.
L’équipe de ShopBack s’inquiétait de la présence de vulnérabilités critiques dans son code open source, comme Log4j. Elle avait besoin de comprendre, d’analyser et de résoudre les vulnérabilités, mais ne savait pas par où commencer.
Dipin Thomas, responsable de l’ingénierie, explique : « Une vulnérabilité est apparue, et tout le monde s’est mis à travailler sur sa résolution. Nous avons eu beaucoup de mal à la comprendre et à l’analyser. Nous ne savions pas sous quels aspects elle nous exposait ou même comment la corriger facilement. »
La solution : Snyk Open Source
L’équipe de ShopBack a déployé Snyk Open Source pour détecter et corriger les vulnérabilités de son code open source. Après avoir entendu parler de Snyk par l’intermédiaire de son partenariat premium avec AWS, elle a décidé d’évaluer cette solution, ainsi que quelques outils similaires. Elle a testé les capacités de ces différentes solutions de sécurité sur un même ensemble de bases de code. Snyk Open Source est sorti vainqueur de cette comparaison en raison de ses intégrations au pipeline et de ses fonctionnalités de CLI.
« Là où Snyk a vraiment fait la différence, c’est sur la prise en charge du réseau privé de GitLab, la simplicité de son intégration à GitLab CI et la rapidité de la génération des résultats », explique Dipin Thomas. « Snyk propose aussi diverses fonctionnalités intégrées dans sa CLI. Par exemple, vous pouvez filtrer ou cibler les vulnérabilités par niveau, par type ou par emplacement. C’est une option que j’ai rarement vue dans d’autres outils, qui préfèrent générer un rapport complet que nous devons ensuite filtrer avec une solution développée en interne. C’est beaucoup moins pratique. »
L’équipe de ShopBack s’appuie également sur les informations de sécurité de Snyk pour se tenir informée des vulnérabilités et expositions courantes, des divulgations réalisées par les fournisseurs tiers et d’autres données de sécurité pertinentes.
D’après Tao-Sheng Chen, vice-président de l’ingénierie, « il est impossible d’anticiper l’annonce d’une nouvelle vulnérabilité dans du code open source. La situation évolue sans cesse. Une application que vous jugez sûre un jour peut très bien faire l’objet d’une nouvelle vulnérabilité le lendemain. Nous sommes heureux de disposer d'une source d'information fiable sur tous nos logiciels tiers, de sorte que nos développeurs sont les premiers à être informés de toute vulnérabilité critique. »
Fonctionnalités de détection et correction des vulnérabilités
Les développeurs de ShopBack apprécient également les fonctionnalités de correction automatique des vulnérabilités incluses dans la plateforme Snyk Open Source. Plutôt que de rechercher des solutions pour chaque vulnérabilité détectée, les développeurs peuvent cliquer sur un bouton afin de corriger le problème en quelques secondes. L’équipe apprécie également la simplicité de l’intégration de cette fonctionnalité à son écosystème, qui inclut des fichiers Node.js et Docker.
Dipin Thomas explique : « Avec la fonction de correction automatique, tout est beaucoup plus simple pour nos développeurs. En un clic, ils ont directement accès à la mise à jour ou au correctif. Il suffit de le fusionner. »
L’impact : des résultats positifs en moins de 60 jours
Même si le déploiement de Snyk reste récent, l’équipe de ShopBack a déjà enregistré des résultats impressionnants. Elle dispose d’une bien meilleure visibilité sur la posture de sécurité de sa chaîne d’approvisionnement logicielle. Elle a ainsi pu réduire le nombre de vulnérabilités graves et critiques de 16 % sur 30 jours. Au cours des 2 derniers mois, l’adoption de Snyk Open Source par ses développeurs afin de sécuriser les projets a augmenté de 247 %.
Maintenant qu’elle dispose d’une solution de sécurité, l’équipe prévoit de passer la certification ISO. Elle espère également évaluer d’autres produits de Snyk.
« Je pense que ces premières étapes réussissent, car la plateforme s’intègre parfaitement à notre écosystème. Nous avons hâte de continuer sur cette voie avec d’autres outils », se réjouit Tao-Sheng Chen.