Azul veut améliorer des détections des vulnérabilités Java
mar, 10/06/2025 - 19:12
La sécurité est un domaine sur lequel Azul veut se différentier. Connu pour sa JDK, l'éditeur propose d'autres outils tels que Azul Vulnerability Detection. Sa mission est de détecter les vulnérabilités jusqu'à identifier la classe mise en cause tout en réduisant drastiquement les faux positifs. "Azul Vulnerability Detection s’appuie sur des données d’exécution collectées en production au niveau des classes. Cela permet aux organisations de se concentrer uniquement sur les chemins de code réellement utilisés, réduisant ainsi les faux positifs de 100 à 1 000 fois par rapport aux autres outils. Les équipes DevOps peuvent ainsi hiérarchiser plus rapidement les vrais risques, renforcer leur posture de sécurité et améliorer significativement la productivité des développeurs." indique l'éditeur.
Les composants Java comme Log4j sont constitués de fichiers JAR (Java ARchive), qui contiennent généralement de nombreuses classes. Il est donc possible qu’un composant vulnérable soit présent dans l’application sans que la classe vulnérable ne soit jamais invoquée — ce qui signifie que l’application n’est pas réellement exposée.
L'outil s’appuie sur une base de connaissances enrichie, qui fait le lien entre les CVE et les classes réellement utilisées à l’exécution. Cela permet de cibler précisément les composants vulnérables, de les corriger plus efficacement, et d’éliminer jusqu’à 99 % des faux positifs.
L'éditeur met en avant 4 avantages :
- Tri efficace des nouvelles vulnérabilités : détection continue et en temps réel des failles Java en production, permettant une réponse rapide, notamment lors d’incidents critiques comme Log4j.
- Analyse en temps réel et historique, enrichie par l’IA : conserve l’historique des composants et de leur usage, pour une traçabilité fine. L’équipe sécurité d’Azul utilise l’IA pour identifier rapidement les nouvelles CVE Java dans la base NVD et autres sources, et met à jour sa base de données en continu.
- Surveillance en production des JDK Oracle et OpenJDK : fonctionne avec toutes les JVM basées sur OpenJDK (Azul, Amazon, Temurin, Microsoft, Red Hat, etc.), indépendamment du fournisseur.
- Aucun impact sur la performance : s’appuie sur les données disponibles au sein même de la JVM à l’exécution, sans surcoût ni dégradation des performances — ce qu’aucun autre outil ne permet à ce niveau de précision.