En décembre 2021une vulnérabilité dans une bibliothèque de journalisation largement utilisée qui n’avait pas été corrigée depuis 2013 a provoqué un véritable effondrement de la sécurité.
La faille Log4Shell notée 10/10 dans Log4j, un logiciel de journalisation open source que l’on trouve pratiquement partout, des jeux en ligne aux logiciels d’entreprise et aux centres de données cloud, a fait de nombreuses victimes d’Adobe et Cloudflare à Twitter et Minecraft en raison de sa présence omniprésente. Il a été décrit par les experts en sécurité comme un « échec de conception aux proportions catastrophiques » et a démontré les conséquences potentiellement considérables de l’envoi d’un mauvais code.
AppMap, basé à Boston, qui passe par TechCrunch Disrupt Startup Battlefield cette semaine, veut empêcher ce mauvais code de passer en production. L’outil d’analyse de code d’exécution dynamique open source, qui, selon la startup, est le premier du genre, est une idée originale d’Elizabeth Lawler, qui connaît une chose ou deux sur la sécurité. Avant de fonder AppMap, elle a fondé la startup de sécurité DevOps Conjur, qui a été acquise par CyberArk en 2017, et a été directrice des données pour Generation Health, acquise plus tard par CVS.
Après avoir vendu deux sociétés à de grandes entreprises avec de nombreux logiciels hérités, Lawler a été témoin de la difficulté des développeurs à comprendre les systèmes qu’ils étaient chargés d’améliorer et à la difficulté de fournir un code rapide et sécurisé dans des microservices complexes et des applications cloud.
« Je suis surpris que les gens aient un modèle mental de la façon dont les choses fonctionnent qui est en fait déconnecté de la façon dont cela fonctionne réellement », a déclaré Lawler à TechCrunch. « Lorsque nous ne savons pas comment fonctionne notre logiciel, nous faisons de meilleures suppositions lorsque nous écrivons du code. »
Crédits image : AppMap
Cela a conduit à la création d’AppMap, qui repose sur l’idée simple que les développeurs doivent pouvoir voir le comportement du logiciel au fur et à mesure qu’ils l’écrivent afin d’éviter les problèmes lors de l’exécution du logiciel. Contrairement aux outils d’analyse statique qui n’affichent pas d’informations d’exécution, AppMap – qui a été construit à partir de zéro sur une période de trois ans – s’exécute dans l’éditeur de code pour montrer aux développeurs quels composants communiquent avec quels composants, à quel débit et quelle latence, à quelle vitesse de réseau et s’il y a des erreurs entre eux, permettant aux développeurs d’obtenir des informations exploitables et d’apporter des améliorations plus rapidement qu’auparavant.
Tout cela se fait dans une extension d’éditeur de code interactif, qu’AppMap a conçue avec l’aide d’artistes de bandes dessinées et de musiciens afin de la rendre aussi facile à utiliser et intuitive que possible.
« Je suis un scientifique des données, donc je sais à quel point les données peuvent être écrasantes », a déclaré Lawler. « Google Maps nous a montré avec élégance comment les cartes peuvent être personnalisées et localisées, nous l’avons donc utilisé comme point de départ pour la façon dont nous voulions aborder le problème du Big Data. »
Pour coïncider avec TechCrunch Disrupt, AppMap lance trois nouvelles fonctionnalités : la possibilité de partager et de collaborer avec d’autres ingénieurs ; analyse des performances qui alerte les développeurs lorsque les changements de code auront un impact sur les performances et l’évolutivité ; et une analyse de sécurité qui peut identifier les problèmes de code d’exécution du logiciel dans l’éditeur de code d’un développeur avant qu’il ne valide son code, qu’il s’agisse de fuites de données et de secrets client dans des fichiers journaux ou d’authentification ou d’autorisation manquante ou incorrecte.
« Nous pouvons voir les types de problèmes qui font maintenant partie du Top 10 croissant de l’OWASP. Les problèmes statiques ont diminué en prévalence parce que nous avons de bons scanners pour eux, mais ce pour quoi nous n’avons pas de bons scanners, ce sont ces problèmes dynamiques qui sont conçus dans la nature. Si vous regardez le CWE Top 25, près de la moitié d’entre eux sont des problèmes de conception de code.
Comme il est basé sur l’open source, ce qui ressort de l’approche communautaire de la startup pour modifier son produit et ajouter de nouvelles fonctionnalités, AppMap est gratuit pour les développeurs. « Nous ne pensons pas que vous devriez être facturé pour la conscience de soi dans la programmation », a déclaré Lawler. « Si nous allons nous intégrer à votre GitHub et que nous devons fournir des fonctions d’arrière-plan ou du stockage, alors ce sont des services payants. »
Crédits image : AppMap
AppMap, qui est une startup de pré-revenu soutenue par VC, compte actuellement plus de 20 000 clients – un chiffre qui augmente de 20% chaque mois – avec des développeurs d’IBM, de la NASA, de Sonos et de Salesforce utilisant son produit. Il agrandit également son équipe, qui est composée d’employés qui ont codé à un moment donné de leur carrière et qui possèdent une expérience approfondie en DevOps, en automatisation, en cybersécurité et en développement piloté par les tests. Kevin Gilpin, co-fondateur technique d’AppMap, décrit le point culminant de sa carrière comme la livraison pages « construisez votre véhicule en ligne » pour Ford.
Bien qu’elle n’ait été lancée qu’en 2021, la vision de la startup va bien au-delà empêcher les développeurs d’envoyer du mauvais code. « Nous passons beaucoup de temps et d’énergie à instrumenter des éléments en aval de notre application, mais nous n’avons jamais instrumenté le processus de création. Nous n’avons jamais vraiment vu les gens penser, concevoir et créer de cette façon. Je pense qu’en ayant des données d’observabilité à ce moment-là, cela va ouvrir beaucoup d’opportunités. Au fur et à mesure de l’évolution d’AppMap, j’aimerais réfléchir à la façon dont cela devient encore plus important que l’analyse des performances et devient davantage une technologie d’assistance dans ce domaine.