Intelligent Code Analytics: augmentation de la couverture des tests de sécurité des applications grâce à l’informatique cognitive

Intelligent Code Analytics: augmentation de la couverture des tests de sécurité des applications grâce à l’informatique cognitive

Bien que l’analyse des résultats intelligents (IFA) représente une percée majeure dans les tests de sécurité des applications, elle ne conserve que l’étendue de la couverture produite par le processeur de langage d’analyse statique.

ICA: Prendre le contrôle de la sécurité des applications, un pas en avant

L’analyse intelligente de code (ICA) fait de l’IFA un grand pas en avant en utilisant l’informatique cognitive pour étendre la couverture d’une langue. Ceci est extrêmement important car les langages de codage évoluent rapidement, avec de nouveaux cadres apparaissant apparemment tous les jours. Une nouvelle version de langage telle que Java 8 peut introduire des dizaines de milliers de nouvelles interfaces de programme d’application (API).

Traditionnellement, un expert en sécurité qualifié examine chacune de ces API pour voir s’il s’agit d’une entrée (une source) ou d’une sortie (un puits), puis détermine si le code peut comporter une vulnérabilité (une altération). De nouveaux cadres rendent ce processus encore plus complexe. En rendant le codage plus simple pour les développeurs, ils rendent l’examen plus opaque pour les systèmes de test. Identifier ces API et créer des règles autour d’elles, appelées balisage, peut prendre des semaines ou plus, ce qui laisse des lacunes dans la couverture du système de test.

Figure 1: Les API inconnues laissent des lacunes dans la couverture.

ICA adresse et élimine pratiquement ce problème en appliquant l’apprentissage automatique à l’identification et au balisage des API. Le plus étonnant, l’ICA le fait à la volée. Chaque fois qu’il rencontre une nouvelle API ou framework, il détermine instantanément s’il est corrompu et crée une règle. Il est ensuite utilisé par le moteur d’analyse pour déterminer si le flux de données de l’application contient une vulnérabilité réelle ou non.

Figure 2: ICA identifie les API précédemment inconnues.

ICA ‘Fonctionne’

Kris Duer, connu sous le nom de «père de l’IFA et de l’ICA» au sein d’IBM Security, explique comment ces résultats sont atteints:

«Cela fonctionne bien!» Bien qu’il y ait certainement plus de détails derrière la déclaration de Kris Au test de sécurité de l’application est que vous n’avez pas besoin de connaître tous les détails – vous pouvez simplement regarder les résultats.

Avec l’IFA, nous avons constaté une précision de la machine qui satisfaisait ou dépassait les résultats d’experts formés effectuant la même analyse. De même, les résultats de l’ICA sont tout aussi impressionnants et égalent ou dépassent les résultats des efforts humains. Comme pour l’IFA, on peut attribuer cela au fait que les personnes qui travaillent sur des problèmes complexes pendant des heures deviennent naturellement fatiguées et ont tendance à faire des erreurs, alors que les machines accomplissent le même travail en quelques secondes et ne se lassent jamais.

Figure 3: ICA identifie correctement plus de 98% des API.

Accélérer la vitesse et la couverture avec IFA et ICA

Ensemble, l’IFA et l’ICA utilisent l’informatique cognitive pour traiter les domaines clés de la sécurité des applications: la vitesse et la couverture. Les deux sont essentiels à la création d’un programme de sécurité d’application DevOps réussi. Mais ce n’est que le début. Où l’informatique cognitive nous mènera-t-elle en rendant le programme de sécurité de votre application plus efficace? Regardez cet espace pour le découvrir! IBM Application Security sur le Cloud

Pour plus d’informations sur les fonctionnalités de test de sécurité des applications cognitives d’IBM, visionnez cette brève vidéo animée:

 

Trois questions à poser à votre fournisseur de cloud sur la sécurité pour votre environnement SAP Qu'est-ce que la gestion de compte privilégiée de prochaine génération ?