Cybersecurity
Governance, Resilience, IAM, PAM, DLP, SIEM, SOC
Défauts de sécurité pour 76% des applications
Près d’une application sur quatre présente des défauts graves et critiques ! Pour Veracode, le «security by design» passe par le DevSecOps
11ème édition du toujours très instructif rapport «State of Software Security» de Veracode sur les défauts des logiciels développés par les entreprises. Une édition qui s’attache particulièrement à l’application des principes du «security by design» et au parcours des développeurs dans leur quête d’un développement d’applications mieux sécurisées.
Plus de 130 000 applications actives analysées. Et le résultat n’est guère plus optimiste que les précédentes années : 76 % des applications souffrent de défauts de sécurité. Pis : 24 % des applications présentant des failles graves et critiques. C’est beaucoup. C’est juste un peu mieux que l’an passé, tente de rassurer Veracode : 83 % des applications scannées avaient été identifiées comme vulnérables !
Quelles sont les failles cyber les plus rencontrées ?
L’origine des failles ? De ce côté, là, précise Veracode, «le palmarès est relativement stable au fil des années». L’année dernière, les fuites d’informations, les problèmes cryptographiques, l’injection CRLF et les défauts de qualité de code l’avaient emporté. Pas de véritable changement pour cette édition.
Seuls les problèmes de chiffrement rétrogradent d’une place.
Les problèmes de qualité de code demeurent en quatrième position alors que les outils de développement embarquent de plus en plus d’aides et d’AI pour aider les développeurs en la matière.
Le code open source étend la surface d’attaque
Les applications incluent de plus en plus des bibliothèques open source. En fait, beaucoup incluent désormais plus de code open source que de code propriétaire. Cette année, Veracode a constaté que 97 % d’une application Java typique était constituée de code tiers. «Et lorsque nous avons examiné notre analyse du code open source via l’analyse de la composition logicielle par rapport au code de première partie via l’analyse statique, nous avons constaté que près d’un tiers de toutes les applications ont plus de résultats dans des bibliothèques tierces que dans la base de code native».
Remonter à l’origine
Il existe des moyens de «nourrir» la sécurité des logiciels, même si la «nature» du logiciel est loin d’être idéale. Cette année, nous avons réfléchi à ce qui conduit à l’état de la sécurité logicielle. S’agit-il des attributs de l’application dont le développeur hérite -sa dette de sécurité, sa taille- ou est-ce les actions des développeurs -à quelle fréquence ils recherchent la sécurité ou comment la sécurité est intégrée dans leurs processus ? Et s’il s’agit de «nature», y a-t-il quelque chose que les développeurs ou les professionnels de la sécurité peuvent faire pour améliorer les résultats en matière de sécurité ?
DevSecOps, pour un gain de temps
Les recherches de cette année ont mis au jour des données surprenantes -et prometteuses- sur les moyens de «nourrir» la sécurité des applications, même si la «nature» n’est pas idéale. Ainsi, le rapport de Veracode démontre aussi l’efficacité de l’approche DevSecOps puisque les équipes qui combinent l’analyse statique et l’analyse dynamique corrigent la moitié des défauts 24 jours plus rapidement.
