Sécurité applicative : les pratiques de remédiation progressent

Ariane Beky,
Applications ios france (crédit photo © KROMKRATHOG - shutterstock)

L’utilisation combinée de l’analyse statique, dynamique et de la composition logicielle progresse dans les entreprises, relève Veracode.

Le fournisseur de solutions de tests de sécurité des applications Veracode a livré la 12e édition de son rapport sur l’état de la sécurité logicielle (SOSS)*.

Que peut-on retenir de ce baromètre ?

Le DevSecOps progresse. Les développeurs testent désormais plus de 17 nouvelles applications par trimestre, soit trois fois qu’il y a dix ans, pour détecter les failles de sécurité.

La cadence moyenne d’analyse elle-même a été multipliée par 20 sur la période. La plupart des apps étant désormais scannées trois fois par semaine en moyenne, et non plus par année, comme c’était le cas en 2011. Aussi, les tests de sécurité sollicitant plusieurs types d’analyse progressent. L’utilisation combinée de l’analyse statique, dynamique et de la composition logicielle  a ainsi augmenté de 31% entre 2018 et 2021.

Les pratiques d’analyse et de remédiation progressent ainsi.

Cette tendance s’inscrit dans la continuité du rapport SOSS v11. On y apprenait, entre autres, que les entreprises utilisant le scan dynamique en plus du statique remédiaient aux failles 24 jours plus rapidement que les organisations utilisant uniquement l’analyse statique.

DevSecOps et Microservices

Dorénavant, seules 5% des applications s’appuient sur plusieurs langages de programmation, contre 20% en 2018. « On pivote vers la construction d’applications plus petites qui effectuent une seule tâche, ce qui est cohérent avec la popularité croissante des microservices », explique Chris Eng, directeur de recherche chez Veracode.

Enfin, il serait presque impossible d’innover avec des logiciels sans les bibliothèques open source. La plupart des applications étudiées en contiennent, y compris lorsque ces bibliothèques sont vulnérables. Or, 77% des failles dans les bibliothèques de tierces parties ne sont toujours pas corrigées trois mois après avoir été identifiées, indiquent les auteurs du rapport.

Il reste que les applications deviennent progressivement plus sûres. En 2017, près de 35% des bibliothèques utilisées contenaient en moyenne une faille connue. Ce taux est dorénavant de 10%, en moyenne. 4% pour Javascript, 10% pour Python, 4% pour Go.

*Veracode « State of Software Security v12 ». Plus de 592 000 applications ont été étudiées.

(crédit photo © Shutterstock)