Sonatype dévoile sa solution complète de gestion de la chaîne logistique logicielle | Communiqué de presse

Discovery Health et Nexus Lifecycle

Suivi et gestion de l'utilisation des composants open source

Fondée en 1992, Discovery Health est la compagnie d'assurance leader en Afrique du Sud. Aujourd'hui, l'entreprise offre des services de soin gérés à 3,2 millions de bénéficiaires et détient 38 % des parts du marché national des mutuelles. La société, dont le siège est installé à Johannesbourg, a élargi ses opérations à l'international et fournit ses services à 6,9 millions de personnes réparties dans 16 pays. Discovery Health, qui compte 12 000 employés dans le monde, agit en tant que fournisseur de services financiers ou assureur dans ses principaux marchés que sont l'Afrique du Sud et le Royaume-Uni.

Discovery Health dispose d'une grande équipe de développement en interne. Presque chaque projet conçu est supporté par une technologie open source. Aujourd'hui, Nexus Lifecycle fournit une visibilité avancée sur les composants open source dont les vulnérabilités et les risques de licence sont connus tôt, et ce dans toute la suite d'applications de l'entreprise. De plus, les solutions Nexus de Sonatype suivent et contrôlent l'utilisation de composants open source tout au long de leur cycle de développement. En s'appuyant sur le reporting automatisé inclus dans le IQ Server de Sonatype, l'équipe d'exécution peut comprendre l'état actuel de la gouvernance de composants au sein de tout son portfolio d'applications.

« Nous avions besoin d'un suivi et de notifications constantes de vulnérabilités de composants open source dans nos applications. Nexus Repository et Nexus Lifecycle ont répondu à nos attentes. »
– Nick Alexander, architecte systèmes, Discovery Health

Le défi : Automatiser la politique d'utilisation des composants open source

Nick Alexander, architecte systèmes chez Discovery Health, explique les défis auxquels son équipe était confrontée avant qu'elle ne découvre Nexus Lifecycle. « Avant d'implémenter Nexus Lifecycle, nous avons tenté de limiter manuellement la disponibilité de composants logiciels auprès des développeurs dans notre Nexus Repository manager. Nous disposions d'un processus manuel afin de déterminer les artefacts qu'il était possible d'utiliser. Outre son caractère chronophage, il a fini par s'avérer inefficace au point que toute demande d'autorisation était rejetée. Nous n'avions tout simplement pas le temps d'identifier ou d'analyser les composants spécifiques comportant des risques de sécurité ou de licence. »

« En raison de notre dépendance vis-à-vis des processus manuels, aucune exploration n'était effectuée dans les artefacts existants du repository manager pour déterminer les composants approuvés précédemment qui possédaient des vulnérabilités, raconte Nick Alexander. De plus, il n'existait que peu de visibilité dans le cycle de développement pour suivre la vulnérabilité de composants. Ainsi, sans automatisation, il était très difficile de mener cette tâche à bien. » 

Santé open source chez Discovery Health

La solution : Adopter Nexus Lifecycle pour réduire les risques et la surface d'attaque en matière de dépendances

Discovery Health exploite une importante ferme de serveurs d'applications, qui se traduit en milliers d'instances de serveurs d'applications. À ce niveau, la gouvernance manuelle des composants est peu pratique et particulièrement sujette à erreurs. Nexus Lifecycle permet notamment aux équipes d'accéder aux données relatives aux composants, qui sont automatiquement et en permanence rafraîchies. Ainsi, toutes les équipes ont accès aux dernières informations sur les composants, qu'ils soient utilisés dans le pipeline de développement ou en production, ainsi qu'à leur conformité aux politiques de gouvernance.

L'équipe de Discovery Health a d'abord étudié Nexus Lifecycle dans le but de réduire les risques et la surface d'attaque en matière de dépendances utilisées par les infrastructures et bibliothèques open source. « Dans la mesure où des dépendances transitives ont pu être intégrées à nos projets, nous n'avons qu'une visibilité limitée sur les véritables risques de sécurité », précise Nick Alexander.

L'existence de notifications pour un composant ayant des vulnérabilités constituait l'une des principales fonctions ayant retenu notre attention dans Nexus Lifecycle, poursuit Nick Alexander. Nous utilisons désormais les notifications de Nexus Lifecycle dans la phase de déploiement et en production. Si nous analysions les composants uniquement lors du déploiement, de nouvelles vulnérabilités en production pourraient perdurer. Sans Nexus Lifecycle, nous n'aurions qu'une très faible visibilité de ces vulnérabilités. »

L'utilisation de Nexus Lifecycle s'est étendue au fur et à mesure à d'autres équipes. Discovery Health a ensuite commencé à interagir de manière individuelle avec les développeurs pour leur expliquer comment les vulnérabilités étaient découvertes et leur présenter Discovery Health - Suivre les vulnérabilités des composants open source avec Nexus Lifecyclela nouvelle approche automatisée adoptée par l'entreprise pour prévenir les risques de sécurité rapidement et à tous les niveaux. Cette nouvelle approche a d'ailleurs été largement acceptée par les équipes.

Nick Alexander revient sur la philosophie de l'équipe de gestion : « Nous voulions booster l'adoption naturelle en encourageant les développeurs et en mettant l'accent sur les changements positifs que notre nouvelle approche aurait sur la qualité de leur travail tout en réduisant les risques à l'échelle de l'entreprise. Ainsi, nous les avons vivement encouragé à utiliser le plugin Nexus Lifecycle au sein de leur environnement de développement intégré (IDE) afin d'identifier au plus tôt des vulnérabilités en matière de sécurité et des risques de licence, et ce dans le but de minimiser la charge de travail supplémentaire si des problèmes venaient à être découverts à une phase ultérieure du cycle de vie. Cette approche s'est avérée être une réussite. »

“In Java development, the sheer number of frameworks and open source projects available to you is daunting. It’s impossible to maintain manual reviews of components across our entire environment. However, today we don’t impose any constraints on what is downloaded to the Nexus Repository from the Central Repository. Through the use of Nexus Lifecycle, we have automated governance capabilities that allow us to scale our compliance checks to any volume of component downloads. Without automation, keeping pace with our consumption practices would be  completely impractical.”

Le résultat : Nexus Lifecycle fournit des informations précises sur les licences open source et permet de contrôler la politique d'utilisation des logiciels libres

Discovery Health a déjà atteint ses principaux objectifs relatifs au projet Nexus. Nick Alexander est heureux de rapporter que l'ensemble de ses équipes est prêt à l'utiliser. « Elles comprennent l'importance que revêt la plateforme Nexus. Le fait que chaque équipe dispose d'une visibilité pour l'établissement de rapports de leur propre produit est essentiel. Ainsi, nous possédons des informations précises sur les risques liés aux licences et savons quand aborder certains risques. Nexus Lifecycle tient toutes ses promesses. »

« À mesure que nos équipes s'approprient l'utilisation de Nexus Lifecycle, nous commençons à mettre en œuvre des politiques plus restrictives. La prochaine étape consiste à suivre le nombre d'expositions que nous avons sur un cycle fixe. De plus, nous souhaitons étudier l'analyse JavaScript (paquets npm) et les fonctions liées à l'analyse d'applications dans des conteneurs Dockers. »

« Nous avions besoin d'un suivi et de notifications constantes des composants open source dans nos applications. Et Nexus Repository et Nexus Lifecycle ont répondu à nos attentes. »

CONTACTER L'ÉQUIPE COMMERCIALE

Envie d'essayer Sonatype ?

Sécurisez et automatisez votre chaîne logistique logicielle.