DevSecOps, IA et API : Harness fusionne avec Traceable
Harness intègre sa société sœur Traceable pour la sécurité des API, dont l’intérêt s’accroît à mesure que les entreprises développent des applications d’IA générative et agentique.
L’éditeur spécialiste de l’approche DevSecOps Harness va fusionner avec une autre société fondée par son créateur. L’objectif est d’intégrer la sécurité des API à sa plateforme dans un contexte d’intérêt croissant pour les applications d’IA. De fait, elles s’appuient fréquemment sur des API.
Harness était, à sa création, un spécialiste de la livraison continue. La société a été fondée par le PDG Jyoti Bansal et le directeur technique Rishi Singh en 2017. Traceable a été créée en 2018 par Jyoti Bansal, qui en a également été le PDG, et le CTO Sanjay Nagaraj. Lui aussi rejoindra Harness, en tant que directeur général d’une nouvelle unité commerciale dédiée à la sécurité des applications.
« [L’objectif est d’assurer la protection] non seulement au moment de la construction et du déploiement, mais aussi tout au long du cycle de vie des applications. »
Nick DurkinDirecteur de la technologie, Harness
Depuis sa création, Harness s’est développée pour inclure l’intégration continue, la gestion des coûts du cloud, l’orchestration des tests de sécurité des applications, la sécurité de la chaîne d’approvisionnement des logiciels, le DevOps des bases de données ou encore la surveillance des métriques DORA.
Traceable offre des fonctions de sécurité dédiée à la découverte et l’inventaire des API dans un environnement, ainsi que les changements qui y sont apportés. Cela concerne la détection des attaques et la chasse aux menaces. À cela s’ajoute la protection contre les attaques et les tests de sécurité en préproduction pour les vulnérabilités.
C’est autour de cette dernière fonctionnalité que les produits des deux entreprises s’articuleront en premier lieu. Cela prendra la forme d’un module de sécurité des API pour la plateforme Harness DevSecOps. L’objectif est d’aller plus loin, selon Nick Durkin, directeur de la technologie de Harness.
« Nous avions des offres [en matière de sécurité des applications] autour des artefacts que nous fournissons », rappelle le CTO. L’objectif est d’assurer la protection « non seulement au moment de la construction et du déploiement, mais aussi tout au long du cycle de vie des applications », ajoute-t-il.
La sécurité des API, un nouveau champ de compétition
D’autres éditeurs de plateformes DevSecOps, tels que GitLab et GitHub, proposent des fonctions de sécurité des applications. De même, JFrog a ajouté Runtime Security à son ensemble d’outils de chaîne d’approvisionnement en logiciels en septembre. Mais l’attention particulière portée à la sécurité des API a largement été le territoire des startups spécialisées jusqu’à récemment, selon Katie Norton, analyste chez IDC.
« La sécurité des API semble être un domaine où l’on assiste à des fusions et acquisitions ces derniers temps », observe-t-elle. Et de citer les transactions entre Akamai et No Name, Snyk et Probely et F5 et Wib en 2024.
Les outils de sécurité des API sont également de plus en plus populaires parmi les organisations DevSecOps, note l’analyste. Dans une enquête IDC consacrée au DevSecOps publiée en juillet 2024, 350 personnes ont été interrogées sur les outils de sécurité des applications qu’elles utilisent. La protection contre les menaces liées à l’exécution des API, les plateformes de protection des applications Web et des API, et les outils de test de la sécurité des applications dynamiques figuraient tous parmi les principaux utilitaires cités. Chacune de ces catégories d’outils est utilisée par plus de 58 % des personnes interrogées.
« Au fur et à mesure que les organisations créent et intègrent des services alimentés par l’IA, le nombre d’API utilisées se multiplie rapidement […]. Cela implique plus de vulnérabilités potentielles. »
Katie NortonAnalyste, IDC
Les API sont un élément clé des applications Web dans le cloud depuis des années, mais Norton a déclaré qu’elles deviendront plus critiques à mesure que les entreprises développent des applications d’IA générative et agentique.
« Les API constituent le tissu conjonctif qui permet aux développeurs d’intégrer rapidement des fonctions d’IA avancées dans les logiciels existants sans réinventer la roue », déclare Katie Norton. « Au fur et à mesure que les organisations créent et intègrent des services alimentés par l’IA, le nombre d’API utilisées se multiplie rapidement [et] plus de points de terminaison, cela implique plus de vulnérabilités potentielles. »
Les attaquants savent également que la compromission d’une API peut leur donner un accès direct à la logique du service et aux données sensibles utilisées par les modèles d’IA, ajoute Katie Norton. L’enquête DevSecOps d’IDC de juillet a également révélé que la principale préoccupation des organisations en matière de sécurité de l’IA pour les applications de production était la protection des données sensibles, citée par 23 % des personnes interrogées.
Le « shift left » n’a-t-il plus lieu d’être ?
La formation à la sécurité pour les développeurs a été citée comme l’action la plus importante pour 52 % des 385 répondants à une enquête sur la sécurité des applications de l’Enterprise Strategy Group (une filiale d’Informa Techtarget, également propriétaire du MagIT) en août 2024. L’amélioration de la collaboration entre les équipes de sécurité et de développement – également choisie par 52 % des répondants – a été la deuxième réponse la plus populaire.
Toutefois, ces résultats d’études de marché interviennent dans un contexte récent de scepticisme quant à l’efficacité du concept de « shift left » populaire parmi les partisans du DevSecOps, ce qui n’a pas échappé à Nick Durkin de Harness.
« Lorsque nous parlons de “shift left”, ce que les équipes font automatiquement, c’est déplacer la charge de travail [de la sécurité] vers l’ingénieur », déclare Nick Durkin. « L’industrie s’est en fait trompée », lance-t-il.
L’approche de Harness laissera la conception de la sécurité des applications et les paramètres des politiques aux équipes de sécurité, tout en rendant les informations sur ces politiques visibles aux développeurs lorsqu’elles sont pertinentes au cours du processus de livraison du logiciel, promet-il.
« Il s’agit de s’assurer que tout le monde connaît les règles du jeu », avance-t-il. « Être capable… de se tromper rapidement, en toute sécurité, avec des garde-fous, c’est ainsi que l’on acquiert de la vélocité ».
