Le défi : automatiser l’analyse des vulnérabilités d’une base de code gigantesque
Citrix est une entreprise technologique de grande envergure, qui compte pas moins de 400 millions d’utilisateurs. Ses 20 produits logiciels représentent ainsi des millions de lignes de code hétérogène qu’il lui faut générer et maintenir. Par conséquent, la sécurité des applications est un sujet majeur de la réduction de son exposition au risque. En procédant à l’inventaire des vulnérabilités potentielles de son vaste portefeuille de logiciels, l’équipe de sécurité des produits de Citrix s’est rendu compte qu’elle devait pousser l’automatisation plus loin pour simplifier la sécurisation de son code. Elle a décidé de devenir partenaire de Snyk pour la capacité de ses produits à détecter des vulnérabilités de manière automatisée dans du code écrit dans divers langages de programmation.
« Nos développeurs utilisent à peu près tous les langages de programmation existants à l’exception du COBOL, et nous nous appuyons à la fois sur des services dans le cloud et des systèmes sur site », explique Rob Hather, responsable des produits de sécurité chez Citrix. Valentin Potier, ingénieur en sécurité chez Citrix, poursuit : « Dans nos tests, cet environnement hétérogène n’a posé aucun problème à Snyk, qui a répondu à davantage de nos critères que les solutions concurrentes. »
La solution : déployer Snyk auprès de milliers de développeurs
Après avoir évalué diverses options, Citrix a opté pour la plateforme Snyk en raison de sa prise en charge supérieure des différents langages de programmation utilisés par les 2 000 ingénieurs logiciels de la société.
Le principal atout de Snyk Open Source ? Avoir aidé Citrix à sécuriser ses dépendances open source sans perturber les activités quotidiennes de ses développeurs. L’équipe de sécurité de Citrix juge également que Snyk propose une expérience adaptée aux développeurs, un véritable avantage par rapport à la concurrence.
Citrix utilise principalement Snyk Open Source pour analyser son code et y détecter des vulnérabilités, mais l’entreprise a aussi exécuté des centaines de milliers de tests au cours des trois derniers mois avec Snyk Container pour sécuriser ses images de conteneurs et avec Snyk Infrastructure as Code pour sécuriser ses configurations d’infrastructure.
« Certains outils sont très complexes à utiliser », explique Valentin Potier. « Mais avec Snyk, développeurs comme managers peuvent tout à fait se débrouiller dans l’interface, comprendre les tableaux de bord et interpréter les données présentées. »
Si Citrix a voulu déployer Snyk rapidement, c’est aussi que l’équipe pouvait pour la première fois quantifier les vulnérabilités de son immense base de code. Cette visibilité lui a permis de générer des rapports et de prioriser efficacement les corrections à apporter pour réduire le profil de risque global de ses logiciels.
« Il n’est pas évident de disposer d’une bonne visibilité sur des millions de lignes de code », explique Rob Hather. « Nous savions que nous risquions d’avoir des vulnérabilités, mais nous ne savions pas combien. Avec Snyk, nous avons eu des chiffres pour la première fois. À partir de là, il n’y avait plus à hésiter. Utiliser Snyk était une évidence. »
Les analyses de Snyk détectent les vulnérabilités dans le pipeline de développement
Citrix a déployé Snyk progressivement, en commençant par analyser du code à partir de ses intégrations SIEM. L’entreprise a ensuite intégré l’analyse des vulnérabilités dans l’ensemble de son pipeline de développement et lors des requêtes d’extraction (PR), avant d’analyser l’ensemble du code envoyé en production. L’analyse du pipeline est notamment devenue un maillon central du workflow d’analyse des dépendances de Citrix.
« Les analyses de Snyk nous sont très utiles dans le pipeline de CI/CD », affirme Rob Hather. « Ces analyses doivent être réalisées aussi tôt que possible dans le pipeline, car nous publions du nouveau code tous les jours pour nos offres cloud. Sans analyses, nous risquerions d’introduire des problèmes susceptibles d’arriver jusqu’à votre environnement de production. »
L’impact : une amélioration remarquable de la santé du cycle du développement logiciel
Jusque-là, faire l’inventaire des vulnérabilités du code et déterminer à quel moment mettre à jour les bibliothèques demandait beaucoup de temps, car il s’agissait d’un processus manuel pour l’équipe de sécurité. Avec Snyk, Citrix dispose rapidement d’une vision claire des bibliothèques obsolètes qui pourraient exposer son code à des vulnérabilités. Citrix a ainsi pu réduire son risque global de 50 % et le nombre de vulnérabilités critiques de 10 %.
« Avec Snyk, nous sommes parvenus à améliorer notre gestion des dépendances et la santé globale du cycle du développement logiciel », se réjouit Valentin Potier. « Les développeurs ne se rendent souvent pas compte du risque qu’ils introduisent dans leurs produits en mettant à niveau leurs bibliothèques trop ou pas assez souvent. Snyk leur fournit les informations nécessaires pour préparer ces opérations et ne pas tout mettre à niveau en même temps. »
Au cours des trois derniers mois, Citrix a exécuté 4,7 millions de tests (soit une hausse de 204 %). Son délai moyen pour corriger l’ensemble des vulnérabilités est de 60 jours, soit deux fois moins que la moyenne du secteur.
« Nous rencontrons de moins en moins de problèmes dans notre code », conclut Rob Hather. « Nous n’atteindrons peut-être jamais le zéro vulnérabilité, car le code évolue en permanence pour répondre aux besoins des clients et aux problématiques de sécurité, mais Snyk nous donne un plan d’action grâce auquel nous pouvons nous en approcher le plus possible. »