Sonatype présente la gestion des dépendances nouvelle génération | Communiqué de presse

Trilliant et Nexus Lifecycle

Aider les entreprises de services publics à améliorer les « villes intelligentes »

La gestion des composants open source est indispensable à la plateforme technologique de l'énergie

Que ce soit pour permettre aux entreprises de services publics traditionnelles de mettre en place des compteurs et des réseaux intelligents ou pour aider les municipalités à se moderniser, Trilliant  dispose de la technologie nécessaire pour fournir un service inégalé à ses clients grâce à une plateforme de communication ouverte et sécurisée.

La société de Cary, en Caroline du Nord, permet aux nouvelles solutions de réseau intelligent et de ville intelligente d'échanger des données en toute fluidité. La plateforme multi-technologique de Trilliant automatise la distribution de l'énergie et fournit des analyses en temps réel pour optimiser l'utilisation de l'énergie tout en assurant une résilience préventive en cas de catastrophe naturelle. Hautement évolutive, la plateforme de communication avancée de Trilliant permet aux entreprises de services publics d'obtenir de précieuses informations dans le but d'améliorer la distribution et l'efficacité de l'énergie. Ses clients recourent à la plateforme pour non seulement réduire leurs coûts, mais également générer de nouvelles sources de revenus. 

Comme la plupart des applications modernes, la plateforme de communication de Trilliant repose sur un nombre important de bibliothèques open source (OSS) et tierces, favorisant ainsi l'innovation à grande échelle. Prem Ranganath, vice-président de la gestion de la qualité et des risques, comprend, d'une part, l'immense intérêt des bibliothèques open source pour les développeurs logiciels en première ligne, et d'autre part, le risque inhérent à leur utilisation non contrôlée.

Afin d'exploiter tout le potentiel des bibliothèques open source tierces, Prem savait que Trilliant avait besoin d'une solution de gouvernance entièrement automatisée et précise qui fonctionnerait, non pas en dehors du cycle de développement logiciel, mais à l'intérieur de celui-ci grâce à des intégrations avec les principaux outils. Après une première tentative infructueuse avec un autre produit, Prem et l'équipe de Trilliant se sont alors tournés vers Nexus Lifecycle de Sonatype.

« Grâce à Nexus Lifecycle, nous sommes en mesure d'identifier les risques plus tôt que jamais dans notre processus de développement, surtout par rapport à il y a six mois. Nexus Lifecycle est parfaitement adapté à nos activités de DevOps. »
– Prem Ranganath, vice-président de la gestion de la qualité et des risques

Défi : Surveiller les vulnérabilités open source de manière évolutive afin de répondre aux besoins d'une clientèle en pleine croissance

Alors que le nombre de terminaux et de dispositifs intelligents sur les réseaux de ses clients ne cessait d'augmenter, Trilliant devait veiller à ce que sa plateforme soit sécurisée et évolutive. 

Ses collègues ont assuré à Prem que les risques open source étaient traités lors du cycle de développement à l'aide d'un outil que l'équipe avait mis en place quelques années auparavant. Il s'est cependant rapidement rendu compte que le produit présentait quelques défauts. Le plus important était la nécessité de procéder à des examens manuels approfondis sur les alertes de vulnérabilité OSS générées par l'outil qui avait été mis en place.

« J'ai découvert que, même si l'outil précédent recueillait une grande quantité de données, les processus d'analyse et de traitement n'étaient pas intégrés au cycle de développement. La solution était tout simplement trop fastidieuse pour permettre d'identifier les menaces. Elle n'était pas automatisée et nécessitait un travail manuel considérable pour mettre en œuvre les changements en temps voulu ». Il ajoute : « Notre solution précédente était considérée comme un outil séparé plutôt qu'intégré à notre processus ». Résultat : la détection des menaces et des vulnérabilités exigeait une main d'œuvre et des connaissances démesurées, les délais de correction s'allongeaient et il fallait redoubler d'efforts pour trier les nombreux faux positifs. 

Prem a étudié l'évolution des besoins métier de Trilliant pour s'assurer que les équipes d'ingénieurs puissent satisfaire les hautes exigences en matière d'innovation et de sécurité. Une grande partie de cette transformation repose sur des pratiques simples et flexibles. Pour Prem, le DevOps est plus qu'un ensemble de pratiques d'ingénierie. Il fournit plutôt un cadre pour susciter les changements culturels nécessaires en vue d'appliquer la sécurité en amont du cycle de développement logiciel.

Un point clé de cette transformation a été la mise en place de contrôles de gouvernance de sorte que Trilliant puisse réguler automatiquement les composants logiciels open source utilisés au cours des différentes phases de son cycle de développement. « Nous nous sommes rendu compte que nous devions nous doter de mécanismes de détection formels et reproductibles, ainsi que d'un ensemble cohérent de contrôles au sein de nos chaînes logistiques logicielles », explique Prem. 

« Nos équipes de développement tiraient profit des avantages offerts par les composants open source ; il était donc capital que nos processus et nos outils soient étroitement intégrés au pipeline de développement afin de pouvoir être informés sur demande des risques liés à l'utilisation des bibliothèques tierces. L'intégration de contrôles de gouvernance automatisés et reproductibles a marqué un tournant dans notre évolution, nous permettant de passer du DevOps au DevSecOps », précise Prem.

« Nexus Lifecycle est devenu l'un des piliers de notre activité. »
Prem Ranganath, vice-président de la gestion de la qualité et des risques, Trilliant
La solution : Intégrer facilement des informations sur les composants OSS dans l'IDE des développeurs

Prem a dû trouver une nouvelle façon de gérer facilement la gouvernance des composants open source essentiels aux chaînes logistiques logicielles de Trilliant. Pour assurer la transition vers le DevOps, il savait que la nouvelle solution devait être intégrée dès le début et tout au long du pipeline de développement. Il a en outre compris que, vu le nombre de composants utilisés au quotidien par Trilliant, il lui fallait une solution automatisée assortie d'informations précises sur les composants pour faire face aux besoins importants de l'entreprise. Il souhaitait mettre en place un mécanisme permettant aux développeurs de connaître les problèmes de qualité et de sécurité OSS au fur et à mesure de leur apparition. Enfin, il désirait épauler les développeurs dans la correction des problèmes afin d'éliminer efficacement tout remaniement ultérieur ou retard dans leurs travaux de codage.

Prem est alors allé demander conseil à ses collègues ingénieurs. Le département d'ingénierie collaborait depuis longtemps avec Opticca Security, qui a su comprendre les difficultés de l'équipe à intégrer des données externes dans l'IDE. La société a alors suggéré plusieurs solutions, dont Nexus Lifecycle de Sonatype, pour automatiser l'open source governance. Nexus Lifecycle s'est imposé pour plusieurs raisons. Prem et ses collègues ingénieurs ont particulièrement apprécié la facilité avec laquelle Nexus Lifecycle intégrait les informations relatives aux composants OSS dans l'environnement des développeurs, mais aussi d'autres points d'intégration dans le pipeline de développement de Trilliant. 

Par ailleurs, l'équipe a pu travailler avec les parties prenantes chargées de la sécurité, de la législation et de la gouvernance afin de définir des politiques répondant aussi bien aux exigences internes qu'externes. En œuvrant à tous les niveaux de l'entreprise, Trilliant a pu définir des politiques OSS personnalisées sélectionnant les meilleurs composants. Ces politiques pourraient notamment permettre de trouver des bibliothèques alternatives en un rien de temps si le choix d'un développeur s'avérait problématique.

Opticca Security a également montré à Trilliant l'efficacité de Nexus Lifecycle en matière de DevOps, ses équipes parvenant à développer du code sécurisé avec une rapidité record. Force a été de constater que Nexus Lifecycle fournissait des informations précises et exploitables auxquelles les équipes prêteraient attention, éliminant ainsi les désagréments liés aux composants et le gaspillage de précieuses ressources. Après une comparaison approfondie entre Sonatype, Veracode et Synopsys, Nexus Lifecycle de Sonatype s'est avéré la solution la plus adaptée à la transformation DevOps de Trilliant.

« Ce que j'ai apprécié avec Sonatype et Nexus Lifecycle, c'est la façon dont la solution s'intègre aux autres outils, notamment SonarQube. Nous utilisons cet outil depuis de nombreuses années, mais l'intégration de l'analyse statique du code avec notre précédente solution d'identification proactive des menaces s'avérait relativement complexe. Nexus Lifecycle de Sonatype fonctionne avec tous les outils que nous utilisons et nous permet de mettre en place un pipeline de haute qualité. »

Le résultat : Identifier et remédier rapidement aux risques de sécurité des applications

« Je pense que le fait que nous soyons capables d'identifier rapidement les risques liés à la sécurité des applications et d'y remédier, et donc de fournir une assurance objective à nos clients et aux organismes de réglementation, suffit à prouver notre réussite », confie Prem à propos de Nexus Lifecycle.

« Grâce à Nexus Lifecycle, nous sommes en mesure d'identifier les risques plus tôt que jamais dans notre processus de développement. La solution convient parfaitement au DevOps, car elle permet de limiter les problèmes dès le début du cycle. Grâce à Nexus Lifecycle, nous avons réduit nos coûts de développement et augmenté la qualité de nos logiciels, poursuit Prem. Selon moi, Nexus Lifecycle est l'un des piliers de notre activité, la qualité ne dépendant plus du bon fonctionnement d'une application particulière. La sécurité et les performances font aujourd'hui partie intégrante de l'expérience globale que nous offrons à nos clients. »

Les bonnes pratiques DevOps reposent sur la synergie de plusieurs solutions intégrées à la chaîne de livraison. « Grâce à l'intégration de SonarQube aux côtés de Nexus Lifecycle dans le cycle de livraison de nos solutions, nos équipes de développement disposent d'un cadre les aidant à examiner les informations disponibles sur la qualité et la sécurité de leur code. Ce cadre, associé à des renseignements de premier ordre, leur permet d'agir dans les plus brefs délais, souligne Prem. Nos équipes de développement font preuve d'une grande efficacité dès lors qu'elles suivent scrupuleusement ces indications. En cas de violation d'une politique, les équipes sont orientées vers des changements plus en adéquation avec la réglementation, et le travail peut alors reprendre. La fiabilité et la sécurité de notre code intégrées dès le départ constituent selon moi le plus grand avantage pour nos clients. »

« L'atténuation des risques était la partie la plus importante de mon dossier, suivie par les économies que Nexus Lifecycle apporterait sur le long terme en réduisant les remaniements et la dette technique. Or, je ne souhaitais pas baser ma décision uniquement sur les coûts. Je tenais vraiment à ce que les dirigeants comme les ingénieurs comprennent que nous allions considérablement réduire les risques et améliorer la confiance de nos clients. Grâce à une gouvernance open source approfondie, Nexus Lifecycle nous aide aujourd'hui à gérer notre chaîne logistique logicielle plus efficacement. Notre bond de maturité concernant la sécurité de notre développement et du DevSecOps a su convaincre l'ensemble de nos collaborateurs. »

« Nexus Lifecycle nous a prouvé que toutes les obligations non fonctionnelles auxquelles nous sommes soumis, y compris la sécurité, doivent être intégrées à nos activités. La sécurité n'est pas quelque chose que l'on se contente d'ajouter après coup. Pour être efficace, elle doit être intégrée de prime abord, de l'architecture à la conception en passant par le codage et les tests. Tout ce qui a été intégré dans le pipeline de développement de Trilliant et dans ce processus doit être pris en compte pour éviter que quiconque ne soit obligé de revenir en arrière pour éliminer les risques. »

Pour résumer, il déclare que « [l]'intégration de la sécurité portera ses fruits uniquement si les outils et le cycle de développement logiciel sont eux-mêmes intégrés, et si les outils permettent de visualiser les données, d'obtenir des informations et d'agir dans les plus brefs délais. »

Aujourd'hui, Nexus Lifecycle fonctionne harmonieusement au sein du cycle de développement logiciel de Trilliant. L'approche préventive de la société en matière de gestion des risques porte ses fruits. Trilliant est mieux à même d'optimiser ses coûts de développement, d'améliorer sa résilience et de simplifier la gouvernance OSS sans affecter sa flexibilité et sa capacité d'innovation. Et grâce une gouvernance rigoureuse, Nexus Lifecycle fournit une assurance objective qui garantit que sa plateforme logicielle dispose toujours des meilleures bibliothèques open source.

CONTACTER L'ÉQUIPE COMMERCIALE

Prêt à essayer les produits Nexus ?

Sonatype, une meilleure façon de construire