Partager :
Selon le dernier rapport State of Software Security (SoOSS) Volume 11 de Veracode, les applications logicielles ne sont pas si sûres. Après avoir analysé 130 000 d’entre elles, l’éditeur dévoile que 76% présentent des vulnérabilités. Dont 24% sont graves.
Le fournisseur mondial de solutions de test de sécurité des applications (AST), Veracode, dévoile un rapport inquiétant. Selon ce dernier, la majorité des applications (76%) contient au moins une faille de sécurité. Quant aux corrections de leurs vulnérabilités par les équipes de sécurité, 50% d’entre elles peuvent prendre jusqu’à six mois pour être comblées. Telles sont les observations que note le tout récent rapport State of Software Security (SoSS) Volume 11. Pour mener à bien cette enquête, l’éditeur a passé au crible 130 000 applications logicielles. Détails.
Après une analyse de 130 000 d’entre elles, le SoSS dévoile que 76% présentent des vulnérabilités, dont 24% graves.
© Adi Goldstein / Unsplash
Des failles graves pour 24% des applications
Premier constat, les applications défaillantes sont légion. Certes, 76% d’entre elles présentent au moins une faille de sécurité. Mais cette situation est à relativiser. Car, en réalité, seules 24% présentent des failles graves.
50% des applications mettent six mois à être corrigées
Une fois la faille détectée, la situation ne se résout pas si facilement. Notamment à cause du temps nécessaire pour que les équipes de sécurité comblent les vulnérabilités. Ainsi, 50% des vulnérabilités logicielles restent ouvertes six mois après leur identification. Quant aux applications ayant déjà une dette technique, elles nécessitent deux fois plus de temps pour être sécurisées. Pour s’en prémunir, mieux vaut réaliser une analyse fréquente. Ce qui permet de réduire, selon les experts du rapport, de plus de trois semaines le temps nécessaire pour corriger la moitié des failles observées.
Les logiciels Open Source, facteurs de vulnérabilités
Autre observation, les logiciels Open Source représentent des facteurs de risque. Ainsi 70 % des applications acquièrent au moins une faiblesse dans leurs bibliothèques de logiciels open source. De même, 30 % des applications souffrent d’un plus grand nombre de failles au sein de ces bibliothèques que dans le code écrit en interne.
L’importance d’une analyse fréquente
Pour améliorer les taux de correction, le rapport cite certaines bonnes pratiques. Parmi elles, le SoSS cite l’importance de “rembourser la dette de sécurité’”. Ce qui signifie corriger l’arriéré des défauts en se livrant à un scan fréquent des applications. Une manière de faciliter et d’accélérer les délais de correction selon le rapport. À l’inverse, les applications plus anciennes affichent une forte densité de défauts. Elles présentent donc des temps de correction plus lents. À savoir en moyenne 63 jours pour fermer la moitié des défauts.
L’efficacité des DevSecOps
Autre méthode de correction, le DevSecOps se sert de plusieurs types d’analyse combinés. Comme l’analyse statique (SAST), l’analyse dynamique (DAST) et l’analyse de la composition du logiciel (SCA). Ainsi, selon les experts, les équipes qui utilisent à la fois l’analyse statique et l’analyse dynamique corrigent la moitié des défauts 24 jours plus rapidement.
Ségolène Kahn
Commentez