Pour gérer vos consentements :
Categories: ProjetsSécurité

Sécurité applicative : les pratiques de remédiation progressent

Le fournisseur de solutions de tests de sécurité des applications Veracode a livré la 12e édition de son rapport sur l’état de la sécurité logicielle (SOSS)*.

Que peut-on retenir de ce baromètre ?

Le DevSecOps progresse. Les développeurs testent désormais plus de 17 nouvelles applications par trimestre, soit trois fois qu’il y a dix ans, pour détecter les failles de sécurité.

La cadence moyenne d’analyse elle-même a été multipliée par 20 sur la période. La plupart des apps étant désormais scannées trois fois par semaine en moyenne, et non plus par année, comme c’était le cas en 2011. Aussi, les tests de sécurité sollicitant plusieurs types d’analyse progressent. L’utilisation combinée de l’analyse statique, dynamique et de la composition logicielle  a ainsi augmenté de 31% entre 2018 et 2021.

Les pratiques d’analyse et de remédiation progressent ainsi.

Cette tendance s’inscrit dans la continuité du rapport SOSS v11. On y apprenait, entre autres, que les entreprises utilisant le scan dynamique en plus du statique remédiaient aux failles 24 jours plus rapidement que les organisations utilisant uniquement l’analyse statique.

DevSecOps et Microservices

Dorénavant, seules 5% des applications s’appuient sur plusieurs langages de programmation, contre 20% en 2018. « On pivote vers la construction d’applications plus petites qui effectuent une seule tâche, ce qui est cohérent avec la popularité croissante des microservices », explique Chris Eng, directeur de recherche chez Veracode.

Enfin, il serait presque impossible d’innover avec des logiciels sans les bibliothèques open source. La plupart des applications étudiées en contiennent, y compris lorsque ces bibliothèques sont vulnérables. Or, 77% des failles dans les bibliothèques de tierces parties ne sont toujours pas corrigées trois mois après avoir été identifiées, indiquent les auteurs du rapport.

Il reste que les applications deviennent progressivement plus sûres. En 2017, près de 35% des bibliothèques utilisées contenaient en moyenne une faille connue. Ce taux est dorénavant de 10%, en moyenne. 4% pour Javascript, 10% pour Python, 4% pour Go.

*Veracode « State of Software Security v12 ». Plus de 592 000 applications ont été étudiées.

(crédit photo © Shutterstock)

Recent Posts

Pour son premier LLM codeur ouvert, Mistral AI choisit une architecture alternative

Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…

5 heures ago

Microsoft x Inflection AI : l’autorité de la concurrence britannique lance son enquête

L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…

8 heures ago

Thomas Gourand, nouveau Directeur Général de Snowflake en France

Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…

10 heures ago

Accord Microsoft-CISPE : comment Google a tenté la dissuasion

Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…

10 heures ago

Vers des mises à jour cumulatives intermédiaires pour Windows

Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…

11 heures ago

RH, finances, stratégie… Les complexités de la Dinum

De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…

1 jour ago