Atlassian transmet des rapports de failles logicielles à Jira • The Register

Atlassian a décidé que son outil de suivi des problèmes Jira avait besoin d'une autre catégorie de problèmes à suivre : les failles de sécurité.

Suzie Prince, chef de produit Atlassian pour DevOps, a déclaré que les développeurs de The Register utilisent plusieurs outils au cours de leurs journées, ce qui rend difficile la communication des problèmes de sécurité. Cela peut également signifier que les corriger n'en fait pas des flux de travail qui touchent toutes les parties prenantes d'un projet logiciel, a-t-elle ajouté. Une visibilité plus large est importante, soutient Prince, car lorsque les problèmes de sécurité s'aggravent dans les silos d'opérations ou d'infosec, il est difficile de savoir quels correctifs privilégier et pourquoi.

La réponse d'Atlassian consiste à exploiter les flux d'informations de Snyk, Mend, Lacework, StackHawk et JFrog, à les charger dans un nouvel onglet "Sécurité" dans Jira, où les problèmes liés à la sécurité peuvent être consultés par toutes les parties prenantes et les workflows automatisés acheminent le travail vers la droite. personnes. Atlassian analyse les scores de gravité pour aider les utilisateurs à établir des priorités.

Prince a déclaré qu'Atlassian avait vu des clients essayer de construire eux-mêmes ce genre de chose, alors l'entreprise l'a produit.

Le registre a demandé à Prince s'il y avait un inconvénient à une large visibilité des défauts. Nous avons proposé un scénario dans lequel un chef de produit qui travaille avec des développeurs lit les nouvelles d'une faille colossale - quelque chose de l'ordre d'importance de la vulnérabilité Log4Shell dans la bibliothèque de journalisation Apache Log4j omniprésente - et utilise sa capacité à voir cela dans une file d'attente Jira pour commander un correctif sans comprendre que d'autres questions pourraient être plus importantes.

"Être réflexe, c'est ce que font les chefs de produit", a-t-elle admis, avant de poursuivre en affirmant qu'avoir un seul endroit pour gérer le flux de travail de correction des défauts signifie que vous avez la possibilité d'avoir une conversation sur les correctifs en tête d'un -faire la liste, et pourquoi, amenant peut-être un non-technicien nerveux à reculer gracieusement.

La nouvelle fonctionnalité de sécurité est intégrée à Jira Software Cloud, accessible à tous les utilisateurs aujourd'hui et couverte par les licences existantes. Atlassian ajoutera des intégrations à davantage de fournisseurs de sécurité, mais n'a pas pu nommer de noms ni proposer de calendrier pour leur inclusion. ®

Envoyez-nous des nouvelles