Quelle entreprise ne serait pas préoccupée par la sécurité de son code informatique à l’ère du numérique? Silicon Valley, via le poids lourd du capital-risque Sequoia, s’intéresse à une jeune startup danoise, créatrice d’un outil d’analyse sophistiqué pour les compositions logicielles. Mais quelles menaces réelles cet outil permet-il de déjouer?
N’est-il pas troublant de constater que la plupart des logiciels contiennent des composantes open source vieillissantes et parfois peu entretenues? Ces éléments peuvent engendrer des failles de sécurité, telles que Log4Shell, qui ont eu des répercussions sur des organisations de renom. Ces vulnérabilités ne devraient-elles pas inciter à un renforcement de la réglementation autour de la chaîne d’approvisionnement logicielle?
Dans ce labyrinthe de composants qui infiltrent la chaîne d’approvisionnement logicielle, comment discerner les applications utilisant un élément vulnérable? Les outils d’analyse de composition logicielle (SCA) existent, mais face à l’avalanche d’alertes, les équipes de sécurité peuvent-elles efficacement trier et prioriser les vulnérabilités critiques?
« Alors que les fausses alertes inondent les équipes de sécurité, Coana affirme apporter une solution révolutionnaire. »
Et c’est le défi que la startup danoise Coana prétend relever avec son SCA « code aware ». Mais cette nouvelle approche peut-elle vraiment permettre aux utilisateurs d’élaguer les alertes superflues et de se concentrer uniquement sur celles qui comptent?
Coana, oeuvre d’un professeur et de deux docteurs en informatique, soutire un financement de 1,6 million de dollars mené par Sequoia. Avec les fonds et un « breakthrough » technique à leur actif, n’ont-ils pas le potentiel d’une commercialisation fructueuse de leur innovation?
À quel point l’infrastructure d’une application est-elle dépendante de bibliothèques tierces et quelle part complexe cela joue-t-il en termes de vulnérabilités? Coana propose-t-il un modèle plus précis pour éliminer les faux positifs grâce à son « call graph », en quoi cela change-t-il la donne?
Malgré ses débuts prometteurs, Coana a-t-elle les moyens de ses ambitions, notamment en étendant son support au-delà de JavaScript vers Java et Python, et ainsi viser une clientèle plus vaste et peut-être même les grandes entreprises?
Les compagnies désireuses de tester Coana sont-elles prêtes à plonger dans cette nouvelle ère de l’analyse de composition logicielle en accédant dès maintenant à sa version préliminaire?
Source : Techcrunch
