Blackboard et Nexus Lifecycle

Des environnements d'apprentissage sécurisés au rythme du développement

Blackboard est la première entreprise mondiale en matière de logiciels dédiés à l'éducation. Elle s'affranchit des idées reçues en proposant des modèles d'apprentissage novateurs qui permettent de repenser l'éducation en la rendant plus accessible, interactive et adaptée aux apprenants d'aujourd'hui comme aux établissements qui les encadrent. En partenariat avec des leaders de l'enseignement, tous niveaux confondus, des entreprises et des agences gouvernementales à travers le monde, la mission de Blackboard consiste à aider chaque étudiant à réaliser son plein potentiel grâce à des méthodes d'enseignement pérennes. Pour l'appuyer dans sa mission, Blackboard dispose d'un programme de sécurité à la pointe du secteur, conçu pour protéger efficacement l'intégrité des données de l'entreprise et la disponibilité vitale des produits.

Le défi : assurer la sécurité de plus d'une centaine de composants open source

Blackboard a écrit des millions de lignes de code personnalisées et près de la moitié touche entre un et plus de 100 composants open source, dont Spring, Struts, Hibernate et Tomcat. Comme l'explique Matthew Saltzman, ingénieur senior en sécurité des applications chez Blackboard, garantir l'absence de vulnérabilités dans ces composants est primordial. Auparavant, l'équipe passait deux jours à approuver une version spécifique d'un artefact, d'une structure ou d'une bibliothèque avant qu'elle ne soit utilisée dans un produit Blackboard. Comme bon nombre d'entreprises, l'équipe procédait au suivi des composants open source à l'aide d'un tableur. Elle passait en revue les notifications provenant de la National Vulnerability Database afin de déterminer si les composants de son inventaire étaient sans risques pour la sécurité des données. En parallèle, l'équipe juridique lançait une analyse des risques de licence associés à ces composants. Or, ces processus manuels fastidieux et difficiles à maintenir allaient à l'encontre de l'adoption croissante des composants open source par Blackboard. À chaque fois qu'une vulnérabilité était détectée dans un produit en direct, il fallait à l'équipe sécurité plusieurs jours pour identifier un correctif.

« Blackboard a écrit des millions de lignes de code personnalisées et près de la moitié touche entre un et plus de 100 composants open source. Garantir l'absence de vulnérabilités dans ces composants est primordial. »

– Ingénieur en sécurité senior, Blackboard

La solution : transformer les pratiques d'Open Source Governance au rythme des équipes de développement agiles

Blackboard avait besoin de conformer ses pratiques d'open source governance au rythme de ses équipes de développement agiles. L'entreprise s'est mise en quête d'une solution automatisée permettant de suivre, gouverner et rendre compte des composants open source utilisés. Après avoir étudié différentes options open source, Blackboard a jeté son dévolu sur Nexus Lifecycle de Sonatype (anciennement Component Lifecycle Management, ou CLM) en raison de sa simplicité d'intégration et d'utilisation. Nexus Lifecycle assure le suivi de l'utilisation des composants, y applique les politiques nécessaires et empêche l'utilisation de composants vulnérables tout au long du cycle de développement logiciel. Grâce à Nexus Lifecycle, l'entreprise peut également suivre les artefacts open source dans les applications de production. L'équipe de sécurité est ainsi avertie dès qu'une nouvelle vulnérabilité risquant d'affecter les clients et opérations de Blackboard est découverte.

Chez Blackboard, Nexus Lifecycle de Sonatype est directement intégré à la plateforme de Continuous Integration Jenkins, l'une des principales priorités de l'entreprise. Ainsi, les développeurs reçoivent des mises à jour en temps réel au sujet des attributs de leurs composants (sécurité, licences et qualité) afin de prendre les meilleures décisions.

La solution ne se contente pas d'identifier les problèmes éventuels : elle recommande aussi des versions plus sûres des composants défectueux. Nexus Lifecycle offre une Software Bill of Materials complète qui couvre tous les composants open source utilisés, puis les analyse en permanence à la recherche de modifications et de vulnérabilités. Accessible dans l'un des tableaux de bord de Nexus Lifecycle, elle tient les équipes en charge du développement, des applications et de l'aspect juridique au courant de l'état de l'inventaire open source de Blackboard, y compris les profils de vulnérabilité de ses applications et artefacts.

« L'externalisation de la surveillance et de l'analyse constitue pour nous un gain de temps incroyable. Grâce à l'intégration du produit Sonatype à l'ensemble de notre processus de développement, nous pouvons anticiper toute vulnérabilité critique avant le lancement d'une application. »

Le résultat : en finir avec la recherche chronophage des vulnérabilités open source en choisissant Nexus Lifecycle pour automatiser en permanence la surveillance de la gouvernance OSS

L'équipe en charge de la sécurité des applications chez Blackboard passait auparavant un temps considérable à identifier les vulnérabilités open source. Elle bénéficie désormais de Nexus Lifecycle pour l'automatisation en continu de la supervision des politiques et de la gouvernance. En outre, l'intégration de Nexus Lifecycle permet à la fois d'appliquer les licences approuvées par l'équipe juridique et d'identifier les risques associés à ces licences. Ainsi, non seulement les deux équipes ont pu gagner un temps considérable, mais Blackboard peut également s'assurer en amont de la sécurité des composants open source qu'elle utilise, ce qui lui évite des problèmes de sécurité, de licence et de qualité. « En moins d'une journée, nous avions déjà intégré la solution à nos outils de développement », explique Saltzman. « Le mieux dans tout ça, c'est que la formation de nos développeurs à l'utilisation du produit n'a duré qu'une demi-heure. Nous avons tout de suite constaté la valeur de notre investissement. »

CONTACTER L'ÉQUIPE COMMERCIALE

Envie d'essayer Sonatype ?

Sécurisez et automatisez votre chaîne logistique logicielle.