De l'assurance continue à la sécurité des applications agentiques : comment la sécurité rattrape son retard

Cela commence de la même manière dans presque toutes les équipes d’ingénierie.

Les développeurs évoluent rapidement : ils créent des fonctionnalités, intègrent des packages tiers et, désormais, écrivent du code avec l'aide d'IA. Les pipelines CI/CD fonctionnent jour et nuit, propulsant les mises à jour en production plus rapidement que jamais. Les clients sont satisfaits de cette rapidité.

Mais au fond de l'esprit de chaque RSSI se trouve la même question lancinante : « Puis-je faire confiance à ce que nous publions ? »

Quand la vitesse dépasse la confiance

Pendant des années, la réponse par défaut était : « Nous l'analyserons plus tard. » Les scanners de vulnérabilités signalaient les risques et les équipes de sécurité s'efforçaient de les trier après la construction. Mais au fil du temps, les failles de ce modèle sont devenues évidentes.

• Une mise à jour de dépendance s'introduit dans une bibliothèque empoisonnée.

• Un pipeline mal configuré divulgue un secret.

• Et maintenant, le code généré par l'IA introduit des bugs à un volume qu'aucune équipe de révision humaine ne peut gérer. L'échelle tue le « décalage à gauche » (et il n'était pas au meilleur de sa forme au départ…)

Ce qui semblait autrefois « suffisant » était désormais dépassé par les contraintes d'échelle. Les réglementations ont également commencé à rattraper leur retard : SSDF, SLSA, EU CRA, DORA, FedRAMP – toutes exigeantes. preuve que le logiciel est construit de manière sécurisée, et pas seulement des promesses.

C'est à ce moment-là que commence l'histoire de Scribe Security.

Chapitre un : L'usine à preuves

L’idée fondatrice de Scribe était simple : si vous ne pouvez pas prouver la sécurité avec des preuves, vous n’avez pas de sécurité du tout.

Nous avons donc créé ScribeHub, une plateforme qui se trouve discrètement à l'intérieur de l'usine de logiciels et recueille des preuves signées à chaque étape. Il ne récupère pas le code source ; au lieu de cela, il rassemble :

• SBOM et même AI-BOM.

• Créez des métadonnées, une posture de pipeline et des sorties de scanner.

• Signatures et enregistrements de provenance.

• Qui a approuvé quoi, quand et où.

Chaque pièce est signée, cryptée et introduite dans un graphique de connaissances inviolable – une carte vivante de l’ensemble du SDLC.

Désormais, pour la première fois, un responsable de la sécurité des produits peut répondre à des questions difficiles en toute confiance, sur la base de preuves concrètes : D'où vient ce conteneur ? Qui l'a signé ? A-t-il passé tous les contrôles réglementaires ?

C'était un bond en avant. Mais l'IA a encore changé le rythme.

Chapitre deux : Quand l'IA devient bâtisseuse

Les assistants de codage IA ont multiplié la productivité des développeurs, mais aussi leurs erreurs. Du code fonctionnel est apparu instantanément, mais aussi des erreurs de configuration, des vulnérabilités et des secrets révélés.

Soudain, le problème n’était plus seulement l’échelle, mais échelle exponentielle.

L'équipe Scribe a réalisé que si l'IA pouvait créer des risques plus rapidement que les humains ne pouvaient les résoudre, alors l'IA devait également aider remédier Ces risques. Cette prise de conscience a déclenché notre évolution suivante : Agentic AppSec.

Chapitre trois : L'essor des agents

Au lieu d'une IA monolithique, nous avons conçu une réseau d'agents spécialisés, chacun se concentrant sur un élément essentiel de la chaîne d'approvisionnement logicielle :

• Héman, Le copilote AppSec s'exprime en anglais simple. Demandez-lui « Montrez-moi les vulnérabilités exploitables dans le service de paiement », et il répondra et ouvrira les tickets Jira appropriés.

• Remus ne se contente pas de suggérer des correctifs ; il crée des demandes d'extraction, valide les modifications et met à jour les enregistrements de provenance.

• Docktor optimise les Dockerfiles – en choisissant des bases plus sûres, en réduisant les images, en réévaluant les builds.

• COMPIE vérifie en permanence les cadres de conformité et rédige des rapports prêts à être audités.

• Eva garantit que les preuves sont collectées correctement dans chaque pipeline.

Chaque agent tire du même graphique de preuves, en veillant à ce que leurs actions soient cohérentes, explicables et vérifiables.

Ensemble, ils transforment la sécurité d'un goulot d'étranglement manuel en un filet de sécurité automatisé et sans friction.

Chapitre quatre : Faire confiance sans ralentir

La magie réside dans le fait que ces contrôles sont invisibles pour les développeurs.

Envoyez le code comme d'habitude et en coulisses :

• Les artefacts sont signés.

• Les SBOM sont générés.

• Les portes de politique appliquent ce qui est autorisé.

• Les agents analysent les risques et, lorsque cela est sûr, prennent des mesures correctives automatiques.

Les développeurs ne voient que l'essentiel : une demande de publication propre qui corrige une vulnérabilité ou un ticket expliquant le blocage d'une build. La sécurité ne ralentit plus les versions ; elle les accélère en toute sécurité.

Chapitre cinq : La preuve dans le monde réel

Les organisations qui utilisent Scribe font état de résultats probants :

• Réduction de 40 à 70 % du bruit de vulnérabilité grâce au tri contextuel.

• Le MTTR (temps moyen de correction) est réduit de plusieurs semaines à quelques heures pour les constatations récurrentes.

• La préparation des audits a été réduite de plus de moitié grâce à la collecte continue de preuves.

• Stabilité de publication améliorée : moins de blocages de dernière minute, moins de correctifs.

Et le plus important : la capacité de assurer que chaque version de logiciel répond à vos exigences de sécurité obligatoires prouver, pas seulement affirmer, que chaque version est sécurisée.

Épilogue : La sécurité à l'ère de l'IA

L'histoire de la sécurité logicielle ne se résume plus à une analyse a posteriori. Elle se résume à instaurer la confiance dans le pipeline lui-même.

L'évolution de Scribe Security, de l'assurance continue à l'AppSec agentique, est une reconnaissance du fait que le monde a changé :

• Le logiciel est plus rapide.

• Les risques sont plus rapides.

• Et maintenant, grâce à Scribe, la sécurité est également plus rapide.

Avec des preuves comme fondement et des agents d'IA comme main-d'œuvre, Scribe offre ce dont chaque RSSI et développeur a besoin : des logiciels auxquels vous pouvez faire confiance, à la vitesse à laquelle vous devez livrer. Lire l'article complet

articles similaires

Ce que vous devez faire pour atteindre les niveaux SLSA – Un guide très pratique

Contexte SLSA (Supply-chain Levels for Software Artifacts) est un cadre de sécurité visant à empêcher la falsification, à améliorer l'intégrité et à sécuriser les packages et l'infrastructure. Le concept de base de SLSA est qu'un artefact logiciel ne peut être fiable que s'il répond à trois exigences : L'artefact doit avoir un document de provenance décrivant son origine et son processus de construction […]

Assurance continue : une pratique intégrale pour la sécurité de la chaîne d'approvisionnement logicielle

L'assurance continue collecte de manière granulaire des preuves sur tous les événements du cycle de vie du développement, y compris la création du produit et le déploiement, susceptibles d'affecter la sécurité du produit logiciel final.

L'histoire du patch OpenSSL 3.0.7 et les leçons que vous pouvez en tirer

OpenSSL est une bibliothèque de logiciels open source largement utilisée pour mettre en œuvre des communications sécurisées sur des réseaux informatiques. Dans quelle mesure est-il largement utilisé ? Eh bien, il est probable que si vous avez déjà accédé à une page Web HTTPS, vous l'avez fait via un cryptage OpenSSL. La bibliothèque fournit des fonctions et des protocoles cryptographiques pour le cryptage, le déchiffrement, l'authentification et la vérification des signatures numériques. OpenSSL peut être […]