Symbiotic Security, qui annonce aujourd'hui un tour de table de 3 millions de dollars, surveille les développeurs pendant qu'ils codent et signale les problèmes de sécurité potentiels en temps réel. D'autres sociétés le font, mais Symbiotic met également l'accent sur l'étape suivante : apprendre aux développeurs à éviter ces bugs en premier lieu.
Idéalement, cela signifie que les développeurs corrigeront les bogues de sécurité avant qu’ils n’entrent dans un référentiel de code, ce qui devrait également accélérer le processus de développement global. Et comme les développeurs apprennent sur le tas et dans l’environnement dans lequel ils travaillent déjà, ils sont beaucoup plus susceptibles de mettre en œuvre correctement les changements requis. C'est plus efficace que de leur faire suivre une formation annuelle en sécurité dans SuccessFactors.
La société, lancée plus tôt cette année, a publié son MVP il y a environ un mois, en mettant l'accent sur les langages d'infrastructure en tant que code comme Terraform. Comme me l'a dit Jérôme Robert, co-fondateur et PDG de Symbiotic, l'entreprise a fait cela pour faire sortir un MVP et prouver sa vision. Au fil du temps, l’équipe prévoit de s’étendre au reste de la pile d’applications et de prendre en charge des langages tels que Python et JavaScript.
Robert a noté que même les outils de sécurité les plus conviviaux pour les développeurs restent, à la base, des outils destinés aux équipes de sécurité. « Ils permettent aux équipes de sécurité d’être de meilleurs policiers. Ce ne sont pas des outils qui font des développeurs des gentils », a-t-il déclaré. « Ce sont des outils qui permettent aux équipes de sécurité d'envoyer des centaines de messages toute la semaine en disant : 'Vous avez fait une erreur.' Vous devez le réparer.
Pendant ce temps, le développeur doit constamment choisir entre résoudre les problèmes de sécurité et développer de nouvelles fonctionnalités.
L’idée derrière Symbiotic Security est d’inciter les développeurs dans la bonne direction, à l’instar des outils de complétion de code qu’ils connaissent déjà. Idéalement, Symbiotic peut aider les développeurs à corriger les bogues dans la boucle interne, pendant qu'ils sont encore en train de coder, et bien avant que les plates-formes d'intégration et de livraison continues ne commencent à analyser le code à la recherche de problèmes. Une fois que cela se produit, le processus ralentit immédiatement, les tickets Jira et les processus supplémentaires de révision de code prenant le relais.
C’est également là que Symbiotic va encore plus loin. « Il ne suffirait pas de leur permettre de réparer [the issues] et pour le détecter », a expliqué Robert. « Nous devons également les former à la sécurité – et les développeurs adorent se former ; c'est une chose absolue, 100% certaine. Cependant, les formations en matière de sécurité sont pénibles.
Pour les développeurs, Robert affirme que suivre la formation sur place est une chose à laquelle ils peuvent s'identifier. Il est axé sur leurs besoins immédiats et non sur quelque chose d'abstrait – et en quelques minutes seulement, c'est court.
À l'heure actuelle, ces leçons de formation et ces vidéos sont préenregistrées, mais au fil du temps, elles pourraient devenir davantage basées sur l'IA, ce qui permettrait à Symbiotic de les rendre encore plus pertinentes par rapport aux problèmes spécifiques sur lesquels le développeur travaille.
Il y a aussi une autre tournure intéressante ici. Pour former au mieux un modèle afin de résoudre automatiquement les problèmes de sécurité, vous avez besoin d'un corpus de code contenant des bogues de sécurité et des versions corrigées de ces extraits de code. Étant donné que Symbiotic détecte le problème et indique ensuite au développeur comment le résoudre, il pourrait idéalement créer un ensemble de données de haute qualité pour créer un modèle de remédiation. Pour l’instant, il s’agit cependant d’un projet à long terme.
Symbiotic est soutenu par Lerer Hippeau, Axeleo Capital et Factorial Capital. « Jérôme et son co-fondateur Edouard Viot ont une compréhension approfondie des problèmes qui sous-tendent la sécurité des codes traditionnels et ont fait preuve d'une prévoyance remarquable dans leur approche pour répondre à la demande croissante de solutions de sécurité à gauche », a déclaré Graham Brown, associé directeur chez Lerer Hippeau. « Symbiotic a le potentiel de transformer le secteur, en responsabilisant les développeurs et les équipes de sécurité. »