CA Technologies continue ses emplettes dans la sécurité applicative

CA Technologies vient d’annoncerle rachat de SourceClear, replaçant cette opération dans le cadre de ses ambitions en matière de sécurisation des activités DevOps. Fondée en 2014 par Mark Curphey, également à l’origine du projet Open Web Application Security (OWASP), la jeune pousse a développé Lightman Scanner, un moteur d’analyse de code conçu pour identifier les librairies open source utilisées ainsi que les vulnérabilités connues qui les affectent. Il peut être exécuté à la demande ou de manière automatique, intégrée à un processus d’intégration continue. Le moteur s’appuie sur les dépendances déclarées et sur les appels réalisés pour produire un graphique complet des vulnérabilités et des points d’expositions à celles-ci au fil de l’exécution de l’application.

Dans un billet de blog, CA explique tout l’intérêt de la solution : « la solution d’analyse de code source (SCA) de SourceClear ne dit pas seulement quelles applications présentent un composant vulnérable, elle indique si la fonctionnalité correspondante est utilisée ou non ». De quoi effectivement évaluer l’exposition de ses applications à d’éventuels risques. Et de limiter celui de l’exploitation de vulnérabilités connues.

Sans trop de surprise, CA prévoit d’intégrer la technologie de SourceClear avec celle de Veracode. Le rachat de ce dernier a eu lieu l’an dernier. Pour CA, il s’agissait de se renforcer sur le marché des DevOps en intégrant la sécurité à la gestion de la chaîne logistique du logiciel.

Veracode propose une plateforme Cloud d’analyse de sécurité des applications, avec analyse statique de code compilé (Java, C/C#, Objective-C, notamment), analyse de composants logiciels, analyse dynamique, mais également découverte automatique des applications Web exposées publiquement et réputation des applications mobiles. Sa plateforme peut s’intégrer par API dans les chaînes de développement agile et de déploiement continu, ainsi qu’avec les pare-feu applicatifs pour accélérer la remédiation des vulnérabilités éventuellement découvertes.

La complémentarité apparaît donc évidente : SourceClear permet d’aller plus loin que ce qu’offre Veracode en analysant les applications en profondeurs, non seulement pour leur composant, mais pour ce qui en est utilisé.

L’an dernier, CA Technologies a déboursé 614 M$ pour Veracode. Le montant de l’acquisition de SourceClear n’a pas été communiqué. Mais l’entreprise n’a levé que 11,5 M$ de deux tours de table, depuis sa création. Au moment de son rachat, Veracode, fondé en 2006, avait déjà levé dix fois plus. Arrivé bien plus tard sur le marché, SourceClear a peut-être su convaincre plus rapidement.