Interview : Xavier René-Corail, Head of Developer Advocacy @ Semmle

Thê-Minh Trinh
Ensimag Alumni
Published in
6 min readOct 22, 2019

GitHub a récemment fait l’acquisition de Semmle, une plateforme d’analyse de code qui permet de rendre les solutions logicielles plus sécurisés. Semmle permet à des chercheurs en sécurité d’écrire des requêtes pour trouver des vulnérabilités dans du code, puis partager ces requêtes pour que la communauté de développeurs puisse les améliorer et en bénéficier. Leur solution est utilisée par de très grandes entreprises telles que Google, la NASA, Microsoft, Uber…

Quelques clients de Semmle — Capture d’écran de semmle.com

J’ai échangé avec Xavier René-Corail, Ensimag ’95, qui a rejoint Semmle il y a un peu plus d’un an en tant que Head of Developer Advocacy.

Xavier René-Corail, Ensimag ’95, Head of Developer Advocacy @ Semmle

Pourquoi as-tu rejoint Semmle ?

J’ai été leur premier client, il y a 10 ans en 2009 chez Murex. Je cherchais un moyen de reprendre le contrôle sur du legacy code, dans lequel il était devenu difficile de rajouter de nouvelles fonctionnalités rapidement, et sans régressions. Facile à dire, mais beaucoup plus complexe dans la pratique. A l’époque, Semmle étaient les seuls qui avaient une approche developer-oriented. Les concurrents étaient tous manager-oriented. Ca me semblait important que les développeurs puissent reprendre contrôle de leur code. Pour les utilisateurs de Semmle, ça voulait dire pouvoir écrire soi-même les requêtes, dans un vrai langage extensible — l’idée était révolutionnaire: donner l’autonomie aux développeurs, et ainsi réaliser un vrai “shifting left” (en quelques mots, répondre aux problématiques de sécurité dès le début du développement du projet).

Au cours des années de collaboration, j’ai fait connaissance avec l’équipe. J’ai été marqué par l’excellence de l’équipe, aussi bien d’un point de vue technique qu’humain. Ainsi, quand Oege de Moor (CEO de Semmle) m’a proposé de rejoindre son équipe, je n’ai pas réfléchi une seule seconde. Entre temps, leur vision était devenu encore plus ambitieuse : sécuriser le code Open Source partout, avec en particulier, une offre de service complètement gratuite pour les projets Open Source avec LGTM.com. Ca a donc encore plus de sens avec GitHub.

En quoi consiste Ton Job ?

En tant que Head of Developer Advocacy, je gère une équipe dont le rôle consiste à aider les utilisateurs (des développeurs) à utiliser au mieux nos produits :

  1. Faciliter l’adoption des produits grâce à des tutoriels, des exemples, faciliter l’utilisation de notre API
  2. Récupérer leurs feedbacks pour améliorer l’expérience développeur

C’est un rôle différent de celui de Developer Evangelist, qui repose beaucoup plus sur la médiatisation, alors qu’ici le dialogue va dans les deux sens. Nous sommes aussi la voix des développeurs au sein de Semmle.

L’ambition de Semmle est de démocratiser l’expertise “secure code”. En ce moment, cette expertise est rare et chère, et réside chez un petit groupe de chercheurs en sécurité, qui jour après jour détectent et corrigent des vulnérabilités dans le code. Nous voulons dans une certaine mesure partager cette connaissance avec tout développeur attentif à la sécurité. Et grâce à Semmle, cette connaissance peut être codée, et donc partagée.

Au quotidien, je gère une équipe qui interagit avec des mainteneurs de projets Open Source, crée des contenus pour les chercheurs en sécurité et les développeurs, et organise / participe à des conférences et des meetups.

Semmle User Group meetup en mars 2019

San Francisco : c’est comment ?

Je suis encore dans la phase “lune de miel” ! J’adore le fait que ce soit très actif en Tech et que ce soit extrêmement cosmopolite, les gens que je rencontre viennent d’endroits vraiment différents. En revanche, je regrette le manque de diversité hors Tech, si on ne fait pas attention on se retrouve vite à ne fréquenter que des développeurs.

Changer après 20 ans chez Murex (finance) : quel a été ton parcours ?

Le premier tournant de ma carrière s’est fait au sein de Murex.

Quand j’ai commencé en 96, la vision de mon métier était complètement tourné vers la finance : le code était pour moi un instrument qui me permettait d’ajouter des fonctionnalités aux produits financiers. Un jour, François Galilée, un de mes amis de promo (qui travaille maintenant chez Google) m’a recommandé le livre The Pragmatic Programmer. Ca a complètement changé ma vision des choses. J’ai compris que mon métier était l’ingénierie logicielle, ce qui me passionne depuis.

En 2009, j’ai créé une équipe de coach de développeurs pour leur apporter les bonnes pratiques : agilité, lean, eXtreme Programming…

En 2012, j’ai conçu et implémenté une software factory offshore (en Roumanie). C’est à dire les outils de la ligne de production (SCM, CI/CD, frameworks de tests, mais aussi les outils de collaboration …), et les processus. On l’a créée de zéro, en suivant des principes agiles: feedback rapide et adaptation facile. C’était vraiment un outil moderne. Notre but était de créer une factory qui puisse scaler. On est passés de 3 développeurs pendant le pilote à plus de 50 aujourd’hui !

En 2016, Murex a effectué une transition vers l’agile à grande échelle. J’ai fait partie du comité de gouvernance de ce projet, et je dirigeais une équipe en charge de diffuser les standards de développement sur le terrain. Encore une fois avec l’ambition d’améliorer la qualité du code, pour assurer une meilleure agilité.

Mon passage chez Semmle s’est fait d’une manière tout à fait logique.

En effet, écrire du code sécurisé est l’un des pendants de la qualité du code, mais c’est aussi celui que nous pouvons appeler le « parent pauvre » avec toutes les questions du type : faut-il mieux que je sécurise mon code ou que je développe cette nouvelle feature, très attendue par mon business ?

Il faut préciser que l’expertise dans la sécurité est rare et de ce fait, très chère.

Rares sont donc les entreprises qui ont leur propre équipe de chercheurs en sécurité informatique.

Que permet de faire Semmle ?

Au travers de Semmle et du produit QL, il est possible de coder cette expertise sous formes de requêtes, exécutables sur n’importe quel code source.

De ce fait, les chercheurs en sécurité de nos clients ont la possibilité de partager ensuite leur travail avec la communauté Open Source.

L’intérêt pour ces chercheurs est avant tout d’automatiser des tâches qui jusque-là étaient faites manuellement, mais aussi de partager leurs découvertes avec la communauté Open Source, et au-delà avec un très grand nombre de projets/entreprises, qui consomment les librairies Open Source.

Nous permettons de répondre efficacement à la problématique de sécurisation de code, avec une solution facile à intégrer dans les workflows de développement (dans les Pull Requests, ou dans une chaîne CI/CD par exemple, permettant ainsi de tacler les régressions de sécurité au passage) et utilisable sans réelles frictions par les développeurs eux-mêmes.

Ton souvenir de l’école

Principalement des élèves, des amis que je me suis fait à l’école ! J’avais 3 filleuls : j’ai travaillé chez Murex pendant 20 ans avec l’un et j’ai retrouvé les 2 autres à San Francisco.

Ton conseil aux élèves et jeunes diplômés Ensimag

Le monde bouge vite. Il ne faut pas avoir peur des aventures et être sans arrêt à l’affût de nouvelles opportunités. Il faut être observateur des nouvelles tendances et ne pas se laisser enfermer.

--

--

Thê-Minh Trinh
Ensimag Alumni

Product & Climate guy • President @ Ensimag Alumni