Le 2 novembre, Azul a lancé Azul Vulnerability Detection, un nouveau produit de sécurité pour pallier aux risques accrus d'attaques de la chaîne d'approvisionnement des logiciels d'entreprise aggravé par des menaces telles que Log4Shell. Azul Vulnerability Detection est un produit SaaS qui recherche en permanence les vulnérabilités de sécurité connues dans les applications Java. Selon Azul, Azul Vulnerability Detection n'affecte pas les performances de l’application.
Azul Vulnerability Detection est un analyseur de composition logicielle (SCA) dont le but est de garantir une sécurité de la chaîne d'approvisionnement logicielle dans les environnements de production. De fait, les utilisateurs peuvent identifier quand le code vulnérable a vraiment été utilisé et non plus attendre. De cette façon, Azul Vulnerability Detection espère supprimer les positifs incorrects.
L'application ne s'appuie pas sur des agents pour collecter des données mais utilise à la place des Forwarders : un composant conçu pour permettre la communication entre les JRE sur un réseau interne et le logiciel de détection de vulnérabilité dans le cloud.
De toute évidence, ils ont été conçus pour être facilement configurés et se déplacer à travers les pare-feu et les réseaux segmentés et ainsi pouvoir être utilisés comme point de contrôle unique au sein de l'entreprise afin de surveiller le trafic. En surveillant le code exécuté sur la base de modèles d'utilisation réels enregistrés à partir de n'importe quel environnement où sa JVM est en cours d'exécution (AQ, développement ou production), l'entreprise est en mesure de comparer ses modèles d'utilisation. Une fois dans le cloud, les informations sont comparées à une curated base de données CVE qui contient des vulnérabilités spécifiques à Java.
Azul a considéré qu'en rassemblant des données au niveau de la JVM, il serait en mesure de détecter les vulnérabilités spécifiques à Java à partir d'éléments construits, achetés ou en open-source, quel que soit les frameworks (comme Spring, Hibernate, Quarkus, Micronaut, etc.), bibliothèques ou infrastructures (par exemple Kafka, Cassandra, Elasticsearch).
Au lieu d'identifier les utilisations vulnérables du code vulnérable, le produit est livré avec l'historique légale de la traçabilité : l'historique de l'utilisation des composants et du code est conservé, fournissant aux utilisateurs l'outil d'analyse légale pour déterminer si le code vulnérable a réellement été exploité avant d'être connu comme vulnérable.
Pour que cela se produise, la JVM Azul est livrée avec le service d'exécution connecté (CRS) qui autorise la détection et la communication avec le Forwarder Azul Vulnerability Detection. Le processus Java se met alors en route et rassemble des informations sur les instances de classe. Désactivé par défaut, le CRS peut être activé soit via des arguments de ligne de commande soit via une variable d'environnement. La connexion réussie sera signalée dans les fichiers journaux : [CRS.id][info] CRS authentifié : VOTRE_UUID, une fois les journaux activés. La prise en charge de la configuration des JVM à grande échelle est également fournie : plutôt que de configurer chaque JRE séparément, chaque instance activée recherchera deux entrées DNS pour les autres propriétés. L'hôte peut être soit l'outil cloud, soit un forwarder. Toutes les JVM d'un même réseau se connecteront au cloud.
Dans un monde où le développement logiciel s'appuie de plus en plus sur l'utilisation de composants open source, Gartner, dans son rapport Emerging tech: A Software Bill of Materials is Critical to Software Supply Chain Management (6 septembre 2022), estime que "d'ici 2025, 45 % des entreprises mondiales auront subi des attaques sur leur chaîne d'approvisionnement soit trois fois plus qu'en 2021".
Près d'un an après l'affaire Log4Shell, Azul Systems fournit une solution pour pallier à la menace croissante que représentent les attaques de la chaîne d'approvisionnement. Leur nouveau logiciel SCA est capable de détecter les vulnérabilités là où elles se produisent : dans la JVM.