Sécurité du code sur IBM i

Comment utiliser les CVEs pour protéger la sécurité de votre application IBM i ?

Au cours des six dernières années, la sécurité est restée la principale préoccupation des entreprises IBM i lors de la planification de leur environnement informatique. Pourtant, IBM i est l’une des plates-formes les plus sécurisées jamais créées pour les entreprises. Il possède cinq niveaux de sécurité progressivement impénétrables intégrés au système d’exploitation. Alors, ce souci de sécurité est-il vraiment justifié ?

Aujourd’hui, à mesure que les applications IBM i sont modernisées et intégrées à des applications et des équipements externes, la logique RPG traditionnelle est exposée en tant que Web ou microservices, ce qui crée de nouveaux risques tels que l’injection SQL et les API non sécurisées. Pour que les entreprises continuent à tirer parti de la valeur de leurs ressources IBM i, une nouvelle rigueur s’impose en matière de sécurité.

Demandez votre démo personnalisée !

Sollicitez nos experts IBM i

Demander une démo

Que sont les CVEs et comment s’appliquent-ils aux applications IBM i ?

Pour aider les organisations à faire face aux risques croissants en matière de sécurité, le programme à but non lucratif Common Vulnerabilities and Exposures (CVE) a été lancé pour cataloguer les vulnérabilités logicielles dans un « dictionnaire » public et librement accessible. Chaque CVE répertorie une vulnérabilité ou une exposition spécifique et utilise un système de notation commun des vulnérabilités (CVSS) pour évaluer le « niveau de menace ».

Chaque vulnérabilité se voit attribuer un score de base CVSS compris entre 0,0 et 10,0 – un score de 0,0 ne représente aucun risque et 9,0 – 10,0 est un score de risque critique.

Comment identifier ces risques de sécurité ?

DevSecOps a fait de la sécurité une responsabilité partagée tout au long du cycle de vie informatique. Les contrôles de sécurité continus sont désormais intégrés au processus de développement des applications.

Conçu spécifiquement pour IBM i, ARCAD CodeChecker est un élément clé de toute implémentation DevSecOps. ARCAD CodeChecker automatise la détection des failles de sécurité dans le code RPG et CL. Il agit comme une « barrière de qualité » autonome qui peut être intégrée dans n’importe quel cycle DevOps.

ARCAD CodeChecker s’intègre à RDi, permettant aux développeurs de vérifier facilement les failles de sécurité pendant qu’ils codent. Vous pouvez également utiliser ARCAD CodeChecker avec Jenkins pour automatiser les contrôles de sécurité IBM i standard dans un cycle CI/CD standard.

Comment fonctionne ARCAD CodeChecker ?

ARCAD CodeChecker fonctionne en analysant le code source par rapport à un ensemble de règles, de métriques et de modèles métriques. Des règles standard sont fournies d’emblée et peuvent être personnalisées ou améliorées pour répondre aux besoins spécifiques. Chaque règle de sécurité dans ARCAD CodeChecker correspond à un ou plusieurs CVEs, ou dans certains cas, est indépendante de tout CVE.

ARCAD CodeChecker indique comment votre code source est conforme ou non aux règles définies. Pour vous aider à évaluer votre niveau de vulnérabilité ou d’exposition et à connaître les mesures correctives appropriées à appliquer, ARCAD CodeChecker documente également chaque violation de règle, y compris :

description du risque
exemples de code conforme et non conforme
une évaluation pour déterminer si vous êtes « exposé à un risque »
liens directs vers les descriptions CVEs correspondantes sur le site du programme CVE®

Comment rendre compte des risques de sécurité dans votre application IBM i ?

ARCAD CodeChecker génère un rapport de résultats de campagne, organisé par gravité. Selon les jeux de règles que vous avez choisis pour votre campagne, le rapport de résultats fournira une vue synthétique de haut niveau des violations de qualité et des vulnérabilités de sécurité identifiées.

Cliquez depuis le rapport sur la documentation de la règle spécifique pour comprendre la cause de la violation et le plan d’action recommandé, y compris les liens CVE externes.

Le rapport sur les résultats de sécurité offre un moyen simple et rapide de déterminer « suis-je à risque ? » et de prouver votre conformité aux normes de codage sectorielles et locales sur IBM i.

Comment puis-je anticiper les risques de sécurité auxquels je suis confronté ?

Pour vous aider à en savoir plus sur les nouveaux risques de sécurité, ARCAD CodeChecker permet de parcourir facilement la documentation des règles, classée par ensemble de règles.

Grâce à la documentation des règles d’ARCAD CodeChecker, les développeurs peuvent s’informer rapidement des bonnes pratiques de codage sur IBM i et des schémas à éviter.

Grâce aux connaissances spécifiques à l’IBM i contenues dans ARCAD CodeChecker et aux liens rapides vers les CVEs externes, les organisations peuvent rapidement prendre des mesures préventives pour sauvegarder la sécurité de leur code source et de leurs données IBM i critiques.

Comment assurer la sécurité des applications sur IBM i ?

Adoptez ARCAD CodeChecker !

ARCAD CodeChecker vérifie automatiquement la qualité du code source, comme partie intégrante de votre processus DevSecOps sur IBM i. Évaluez et faites un rapport sur vos bases de code RPG à l’aide de mesures de qualité de code optimisées.

Découvrez ARCAD CodeChecker

DevSecOps : détecte les failles de sécurité (injection SQL, APIs vulnérables, SQL dynamique,..)
Plus de 100 règles personnalisables pour le contrôle de la qualité du code sur IBM i
Réduisez la complexité du code et le risque de temps d’arrêt
Maîtrisez les coûts et les délais de maintenance
Facilitez l’intégration des nouveaux développeurs
Prise en charge de l’audit de code et du contrôle continu de la qualité
Solution autonome pouvant être utilisée avec n’importe quel outil DevOps sur IBM i
S’intègre à RDi, aux outils d’automatisation tels que Jenkins et SonarQube pour la création de tableaux de bord.

DEMANDEZ VOTRE DÉMO

Parlons de votre projet !

Nos experts vous conseillent

Démo personnalisée

Sollicitez nos experts