Applications ios france (crédit photo © KROMKRATHOG - shutterstock)
Le fournisseur de solutions de tests de sécurité des applications Veracode a livré la 12e édition de son rapport sur l’état de la sécurité logicielle (SOSS)*.
Que peut-on retenir de ce baromètre ?
Le DevSecOps progresse. Les développeurs testent désormais plus de 17 nouvelles applications par trimestre, soit trois fois qu’il y a dix ans, pour détecter les failles de sécurité.
La cadence moyenne d’analyse elle-même a été multipliée par 20 sur la période. La plupart des apps étant désormais scannées trois fois par semaine en moyenne, et non plus par année, comme c’était le cas en 2011. Aussi, les tests de sécurité sollicitant plusieurs types d’analyse progressent. L’utilisation combinée de l’analyse statique, dynamique et de la composition logicielle a ainsi augmenté de 31% entre 2018 et 2021.
Les pratiques d’analyse et de remédiation progressent ainsi.
Cette tendance s’inscrit dans la continuité du rapport SOSS v11. On y apprenait, entre autres, que les entreprises utilisant le scan dynamique en plus du statique remédiaient aux failles 24 jours plus rapidement que les organisations utilisant uniquement l’analyse statique.
Dorénavant, seules 5% des applications s’appuient sur plusieurs langages de programmation, contre 20% en 2018. « On pivote vers la construction d’applications plus petites qui effectuent une seule tâche, ce qui est cohérent avec la popularité croissante des microservices », explique Chris Eng, directeur de recherche chez Veracode.
Enfin, il serait presque impossible d’innover avec des logiciels sans les bibliothèques open source. La plupart des applications étudiées en contiennent, y compris lorsque ces bibliothèques sont vulnérables. Or, 77% des failles dans les bibliothèques de tierces parties ne sont toujours pas corrigées trois mois après avoir été identifiées, indiquent les auteurs du rapport.
Il reste que les applications deviennent progressivement plus sûres. En 2017, près de 35% des bibliothèques utilisées contenaient en moyenne une faille connue. Ce taux est dorénavant de 10%, en moyenne. 4% pour Javascript, 10% pour Python, 4% pour Go.
*Veracode « State of Software Security v12 ». Plus de 592 000 applications ont été étudiées.
(crédit photo © Shutterstock)
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…