Categories: LogicielsSécurité

Sécurité applicative : 5 vulnérabilités les plus souvent repérées

Veracode, fournisseur de solutions de tests de sécurité des applications, a publié la 11e édition de son rapport sur l’état de la sécurité logicielle (SOSS)*.

Que retenir de cette étude ?

76% des 130 000 applications étudiées contiennent au moins une faille de sécurité. Elles sont critiques dans 24% des cas.

Veracode confirme, par ailleurs, la présence de multiples bibliothèques open source et tierces dans la plupart des solutions scrutées. Les applications écrites en Java affichant la proportion la plus élevée (97%) de ces composants logiciels tiers.

Ils permettent aux développeurs d’ajouter rapidement des fonctionnalités, mais ils ne sont pas sans risques. Selon un précédent rapport de Veracode, 7 applications sur 10 présentaient au moins une faille liée à l’utilisation de composants open source.

Avec ou sans ces composants, certaines failles sont plus souvent repérées que d’autres.

Top 5 des vulnérabilités applicatives

1. Fuite de données
2. Faille CRLF (Carriage Return Line Feed)
3. Problème de chiffrement
4. Défaut de qualité du code
5. Défaut de gestion des informations d’identification

Les injections SQL et les failles XSS (Cross-site scripting) restent dans le top 10.

Selon Veracode, 50% des « failles corrigées » l’ont été 86 jours après leur découverte. Tandis que 50% des « failles non corrigées » le restent pendant au moins 216 jours.

Le fournisseur américain de solutions fait le constat suivant :

« L’ajout de tests dynamiques de sécurité des applications (DAST) permet de découvrir un plus grand nombre de failles. Mais ce sont les équipes qui combinent les analyses dynamiques et statiques qui parviennent à corriger plus de failles, plus rapidement. »

*Veracode « State of Software Security: Volume 11 ».

(crédit photo © Shutterstock)

Recent Posts

Microsoft révise ses programmes de licence à l’aune du cloud

Microsoft permet désormais la vente de licences perpétuelles dans le cadre du programme Cloud Solution…

2 jours ago

Open hardware : Android porté sur RISC-V

Alibaba est parvenu à porter Android sur un processeur RISC-V maison, avec interface graphique et…

2 jours ago

Firefox sur Apple Silicon : dans les coulisses du portage

De Rust aux DRM, Mozilla revient sur quelques-uns des défis qu'a impliqués le portage de…

2 jours ago

DBaaS : Couchbase Cloud sur Azure, après AWS

Après Amazon Web Services, Azure. La base de données en tant que service de Couchbase…

2 jours ago

Zerologon : Microsoft prépare la phase deux de son plan correctif

Microsoft se prépare à ajuster le correctif qu'il diffuse depuis août dernier contre la faille…

3 jours ago

DSI : un fonctionnement en silos qui coûte cher

9 DSI sur 10 considèrent que la contribution des équipes IT à la création de…

3 jours ago