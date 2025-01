Veracode a annoncé l’acquisition de « certains actifs » de Phylum, une startup spécialisée dans la sécurisation de la chaîne logistique logicielle. Cette opération au montant non dévoilé implique la reprise des technologies de détection, d’analyse et de remédiation des paquets logiciels malicieux. Installée à Evergreen, au Colorado, Phylum a levé 19,5 millions de dollars depuis la création en 2020. La jeune pousse s’est spécialisée dans la recherche de paquets malicieux au cœur des dépôts open source. Un problème qui affecte non seulement les porteurs de projets au sein des fondations open source, mais également et surtout les entreprises. Suivant une étude de Synopsis, 96 % des bases de code contiennent 77 % de code open source.

Le SCA est à la mode Considéré comme un risque majeur depuis la faille dans log4j2, la sécurisation des paquets open source est au cœur des préoccupations des éditeurs comme Veracode ou JFrog. Surtout, ces acteurs tentent de consolider des capacités à l’heure où GitHub et GitLab proposent quelques solutions natives à leur plateforme. Veracode est d’abord un spécialiste du SAST, les tests statiques de sécurité des applications, et du DAST, une approche dynamique. Il a lancé une offre SCA d’analyse de composition logicielle à partir de 2019. Un chemin également pris par GitGuardian en 2024, un éditeur français spécialiste de la détection de fuite de secrets souhaitant étendre son portefeuille. Veracode a sans doute considéré qu’il manquait des cordes à son angle. La promesse de Phylum est de superviser automatiquement sept écosystèmes open source : les fournisseurs de paquets npm, PyPi, RubyGems, Crates.io, NuGet, Maven Central et Golang. Selon Phylum, 82 % des trouvailles de son équipe en recherche de sécurité ne sont pas référencées par les autres outils SCA ou publiquement dévoilées. Et elle aurait la capacité de le faire en quasi-temps réel, en sus de fournir un SBOM aux entreprises.