Pour gérer vos consentements :
Categories: ProjetsSécurité

Sécurité applicative : les pratiques de remédiation progressent

Le fournisseur de solutions de tests de sécurité des applications Veracode a livré la 12e édition de son rapport sur l’état de la sécurité logicielle (SOSS)*.

Que peut-on retenir de ce baromètre ?

Le DevSecOps progresse. Les développeurs testent désormais plus de 17 nouvelles applications par trimestre, soit trois fois qu’il y a dix ans, pour détecter les failles de sécurité.

La cadence moyenne d’analyse elle-même a été multipliée par 20 sur la période. La plupart des apps étant désormais scannées trois fois par semaine en moyenne, et non plus par année, comme c’était le cas en 2011. Aussi, les tests de sécurité sollicitant plusieurs types d’analyse progressent. L’utilisation combinée de l’analyse statique, dynamique et de la composition logicielle  a ainsi augmenté de 31% entre 2018 et 2021.

Les pratiques d’analyse et de remédiation progressent ainsi.

Cette tendance s’inscrit dans la continuité du rapport SOSS v11. On y apprenait, entre autres, que les entreprises utilisant le scan dynamique en plus du statique remédiaient aux failles 24 jours plus rapidement que les organisations utilisant uniquement l’analyse statique.

DevSecOps et Microservices

Dorénavant, seules 5% des applications s’appuient sur plusieurs langages de programmation, contre 20% en 2018. « On pivote vers la construction d’applications plus petites qui effectuent une seule tâche, ce qui est cohérent avec la popularité croissante des microservices », explique Chris Eng, directeur de recherche chez Veracode.

Enfin, il serait presque impossible d’innover avec des logiciels sans les bibliothèques open source. La plupart des applications étudiées en contiennent, y compris lorsque ces bibliothèques sont vulnérables. Or, 77% des failles dans les bibliothèques de tierces parties ne sont toujours pas corrigées trois mois après avoir été identifiées, indiquent les auteurs du rapport.

Il reste que les applications deviennent progressivement plus sûres. En 2017, près de 35% des bibliothèques utilisées contenaient en moyenne une faille connue. Ce taux est dorénavant de 10%, en moyenne. 4% pour Javascript, 10% pour Python, 4% pour Go.

*Veracode « State of Software Security v12 ». Plus de 592 000 applications ont été étudiées.

(crédit photo © Shutterstock)

Recent Posts

Guardia Cybersecurity School prépare sa rentrée avec CGI

Guardia CS, nouvel acteur sur le marché de la formation cyber post-bac en France, ajoute…

4 heures ago

Apple répond à l’épisode Pegasus avec un « mode isolement »

Apple intègre à la bêta d'iOS un « mode isolement » optionnel qui restreint les…

4 heures ago

IBM acquiert Databand.ai : de la data quality à l’observabilité des données ?

Data quality ou « observabilité des données » ? IBM préfère le second terme pour…

6 heures ago

Cybersécurité : la Cnil met les collectivités face à leurs responsabilités

La Cnil adresse une forme de rappel à l'ordre aux collectivités territoriales en matière de…

8 heures ago

Bug Bounty : le Pentagone s’offre (encore) les services de hackers

Six ans après son premier bug bounty, le Département de la défense des Etats-Unis lance…

22 heures ago

Typosquatting de dépendances : gare à cette pratique résiduelle

Des chercheurs attirent l'attention sur une campagne de diffusion de code malveillant par l'intermédiaire de…

1 jour ago