Avec le Cloud AWS, GitGuardian œuvre pour un code plus sûr et libéré de ses vulnérabilités

Afin de protéger les environnements DevOps de ses utilisateurs, GitGuardian a développé son propre moteur d’analyse de vulnérabilité dans le code, capable d’intervenir dans l’ensemble du cycle de développement logiciel, y compris dans les systèmes de contrôle de version, les pipelines CI/CD et les configurations Infrastructure-as-Code. Mais la plate-forme ne se contente pas de créer des alertes en temps réel lorsqu'elle détecte des secrets exposés : elle accompagne les équipes sécurité et les développeurs dans le processus de remédiation, afin de minimiser le risque d'exposition de secrets et leur exploitation lors de cyberattaques. Elle répond ainsi de façon optimale aux besoins de sécuriser leur cycle de développement logiciel des grandes entreprises, qui emploient parfois plusieurs milliers de développeurs.

La start-up s’est imposée comme le leader dans la détection de secrets dans le code. En 2023, elle a analysé plus d’un milliard de commits publics (c'est-à-dire de publications d’une modification de code) et, sans surprise pour son équipe de chercheurs, plus de 12 millions de secrets ont été identifiés. Le problème est généralisé : les fuites de secrets concernent 1 développeur actif sur 10 sur la plateforme publique de GitHub, comme le montre GitGuardian dans son dernier rapport, The State of Secrets Sprawl 2024.
 

Pour accompagner sa croissance et piloter son changement d’échelle, qui nécessite le provisionnement de ressources importantes au gré des pics de demandes, l’entreprise a choisi de nouer un partenariat avec Amazon Web Services (AWS). L’infrastructure mise à sa disposition lui offre en effet toute la souplesse et la performance dont elle a besoin pour accompagner sa croissance tout en garantissant à son modèle SaaS une parfaite élasticité pour absorber les charges de travail les plus exigeantes. Et ce n’est pas le seul services d’AWS apprécié par les équipes IT de l’entreprise. Ces dernières utilisent notamment de manière intensive Key Management Services (KMS) et les groupes de sécurité pour garantir que chaque ressource ait accès uniquement aux services strictement nécessaires à son activité. Depuis fin 2022, elles utilisent également Amazon Elastic Kubernetes Service (EKS) et ArgoCD pour améliorer la vélocité des services et réduire la durée des cycles de développement.

Ces services permettent à l’équipe de développeurs de se concentrer sur la création de valeur pour ses clients plutôt que sur la gestion de l'infrastructure. « Nous livrons en continu et très rapidement avec AWS, note Mathis Raguin, ingénieur en qualité opérationnelle chez GitGuardian. Cette flexibilité et fiabilité nouvellement développées ont permis de réduire de 20 % les coûts liés à l'infrastructure tout en améliorant la qualité de service fourni à nos clients. »
 

« Chaque année, nous alertons plus d'un million de développeurs dans le monde entier après avoir identifié des secrets ou des clés d'authentification dans le code qu’ils hébergent sur la plateforme GitHub, se félicite Eric Fourrier. Au regard de notre vaste couverture géographique et de la nature de nos opérations gourmandes en ressources de calculs, l'infrastructure et les services AWS ont été un choix évident pour héberger nos applications. »

Pour GitGuardian, l'aventure ne fait que commencer. Les secrets et clés d'authentification ne sont qu'une vulnérabilité parmi d'autres que les développeurs introduisent par erreur dans le code. L'entreprise a récemment annoncé de nouvelles fonctionnalités pour améliorer la posture de sécurité des entreprises.