Avec la découverte récente de plusieurs vulnérabilités graves dans des progiciels de développement courants, la sécurité du développement d'applications est de plus en plus au centre des préoccupations de nombreux responsables informatiques. Des événements tels que la découverte de vulnérabilités dans Log4j, ainsi que d'autres des vulnérabilités importantes qui ont été identifiées depuis lorsLes changements apportés par les technologies de l'information et de la communication (TIC) ont forcé les organisations à examiner attentivement la façon dont elles mènent le développement des applications afin d'améliorer leur état d'esprit et leur culture et, en fin de compte, d'automatiser une approche "DevSecOps" de la gestion des changements dans SAP.

DevSecOps est un terme relativement nouveau dans le monde SAP et signifie développement, sécurité et opérations. Dans le passé, la sécurité était appliquée par une équipe isolée juste avant la mise en production. Cette approche dépassée est problématique, en particulier pour les organisations qui cherchent à adopter une approche agile de la gestion de leur environnement SAP.

La méthodologie "shift left" d'aujourd'hui met l'accent sur l'importance d'identifier les problèmes potentiels le plus tôt possible dans le cycle de développement, afin qu'ils puissent être corrigés avant d'aller plus loin. C'est de cette approche qu'est née la vision de DevSecOps.

DevSecOps met l'accent sur la nécessité d'inclure la sécurité dès le début en tant que partie intégrante de l'ensemble du cycle de vie du développement. Il s'agit d'intégrer les bons outils de sécurité dans le flux de travail de développement, puis d'automatiser le processus pour garantir que le développement ne soit pas ralenti.

Adopter une approche DevSecOps

Une façon de commencer à adopter une approche DevSecOps est d'investir dans les meilleures solutions de gestion du changement et de conformité à la sécurité pour compléter vos environnements de développement existants.

Tout d'abord, il est fortement recommandé de mettre en œuvre un outil de gestion des changements qui crée un processus de flux de travail applicable. Cet outil doit être capable de gérer toutes les modifications depuis leur création dans le cadre du développement, en passant par le processus complexe de sécurité et de test, jusqu'à la mise en production finale en toute sécurité.

Ensuite, vos équipes ont besoin d'un outil d'analyse de code automatisé qui peut analyser en profondeur le code SAP à la recherche de problèmes affectant la sécurité, la conformité, les performances, la robustesse, la maintenabilité et même la perte de données.

Selon les meilleures pratiques, ces solutions doivent s'intégrer de manière significative afin de rationaliser leur utilité et leur efficacité tout en encourageant leur adoption par vos équipes. En créant une solution DevSecOps homogène, vos équipes peuvent intégrer inconsciemment la sécurité dans le cadre même de leur processus de développement.

Que se passe-t-il lorsque vous intégrez ces technologies dans vos processus de développement ?

  • La sécurité est automatiquement intégrée dans votre processus de gestion du changement.
  • Les contrôles de sécurité sont déclenchés à plusieurs moments du cycle de développement afin de s'assurer que les vulnérabilités et les problèmes de code sont détectés (et corrigés) le plus tôt possible.
  • Le code non conforme est empêché de progresser dans le paysage.
  • Le processus de gestion du changement est simplifié car le bon outil est automatiquement appelé au bon moment.
  • Les responsables CAB et les chefs de produit peuvent approuver en toute confiance les versions de production, sachant que les changements ont été soumis à un processus de contrôle de sécurité rigoureux.

La solution Rev-Trac / Onapsis

Rev-Trac a récemment formé un partenariat stratégique with Onapsis, SAP’s chosen partner for cybersecurity, to offer the market an integrated, best-of-breed SAP DevSecOps solution. This hand-off integration with Onapsis’ flagship products, Control for Code and Control for Transports, utilizes a “shift left” approach to identify security vulnerabilities and code issues before transports are released from the development system.

Dans le cadre du flux de travail de développement, Rev-Trac transmet automatiquement les objets et les transports à Onapsis Control pour une analyse approfondie et attend le résultat. Si le résultat est positif, Rev-Trac poursuit son travail. En revanche, si le résultat est négatif, les transports ne pourront pas progresser tant que les développeurs n'auront pas rectifié les problèmes.

Pour les équipes SAP qui adoptent cette solution intégrée, les avantages sont nombreux :

  • Les failles de sécurité sont automatiquement détectées lors du développement, bien avant qu'elles ne causent des dommages dans le système de production ;
  • Les rapports de sécurité instantanés permettent de résoudre rapidement les problèmes de développement ;
  • Agilité et sécurité vont désormais de pair lors de la mise en œuvre des changements SAP ;
  • Les OEC ont l'esprit tranquille, sachant que tous les codes ont été examinés pour détecter les vulnérabilités en matière de sécurité.
  • Le retour sur investissement de l'ensemble des outils de développement est maximisé grâce aux capacités de flux de travail applicables et personnalisables de Rev-Trac.

 

En savoir plus sur Onapsis

Onapsis protège les applications critiques qui font tourner l'économie mondiale. L'offre de cybersécurité de l'entreprise, The Onapsis Platform, offre de manière unique la gestion des vulnérabilités, la détection et la réponse aux menaces, les tests de sécurité des applications et la conformité continue pour les applications critiques des principaux fournisseurs tels que SAP, Oracle et d'autres plateformes SaaS.

Leur technologie est alimentée par les renseignements sur les menaces et les idées des laboratoires de recherche d'Onapsis, l'équipe responsable de la découverte et de l'atténuation de plus de 800 vulnérabilités de type "zero-day" dans les applications critiques des entreprises.