in

Veracode dévoile son 11e rapport State of Software Security (SOSS)

  • 50% des vulnérabilités logicielles restent ouvertes six mois après leur identification
  • Les applications ayant déjà une dette technique prennent deux fois plus de temps à être sécurisées
  • 76 % des applications présentent au moins une faille de sécurité

Veracode, le plus grand fournisseur mondial de solutions de test de sécurité des applications (AST), dévoile aujourd’hui les conclusions de son dernier rapport State of Software Security (SOSS) Volume 11. Ce rapport révèle que la majorité des applications contient au moins une faille de sécurité et que la correction de ces vulnérabilités prend généralement plusieurs mois. L’analyse de 130 000 applications démontre qu’il faut environ six mois aux équipes pour combler la moitié des failles de sécurité qu’elles découvrent.

Le rapport a également mis en évidence certaines bonnes pratiques permettant d’améliorer sensiblement ces taux de correction. Veracode a ainsi découvert que les équipes détiennent un contrôle très limité sur certains facteurs, et, à l’inverse, un contrôle très fort sur d’autres. Cette dichotomie a été catégorisée par Veracode comme suit :  « nature vs. nurture ».  Dans la partie « nature », Veracode a pris en compte des facteurs tels que la taille de l’application, ainsi que celle de l’entreprise et de sa dette de sécurité ; le volet « nurture » prend en compte des actions telles que la fréquence de scan et le scan via les API.

Correction des failles de sécurité : Nature ou Nurture ? 

Le rapport SOSS 11 révèle ainsi que le fait de traiter les failles au moyen de pratiques modernes telles que le DevSecOps permet d’augmenter drastiquement le taux de correction des vulnérabilités. Par exemple, le recours à plusieurs types d’analyse de sécurité logicielle, à des applications plus petites ou plus modernes, ou encore à l’intégration de tests de sécurité dans le pipeline via une API, font la différence puisqu’il réduit le temps nécessaire afin de corriger les défauts de sécurité, y compris dans les applications dont la « nature » n’est pas idéale.

« Le but de la sécurité logicielle n’est pas de coder les applications parfaitement du premier coup, mais de trouver et de corriger les défauts de manière efficace et rapide, a déclaré Chris Eng, Chief Research Officer chez Veracode. Même lorsqu’ils sont confrontés aux environnements les plus difficiles, les développeurs peuvent prendre des mesures spécifiques pour améliorer la sécurité globale de l’application avec la formation et les outils appropriés ».

Conclusions clés du rapport SOSS 11

  • Les applications défaillantes sont la norme : 76% des applications présentent au moins une faille de sécurité, mais seulement 24% présentent des failles graves. Il s’agit d’un signe encourageant, puisque la plupart des applications ne présentent pas de vulnérabilités critiques posant des risques sérieux. Une analyse fréquente peut réduire de plus de trois semaines le temps nécessaire pour corriger la moitié des failles observées.
  • Les failles de sécurité des logiciels open source sont de plus en plus nombreuses : alors que 70 % des applications héritent d’au moins une vulnérabilité de leurs bibliothèques de logiciels open source, le SOSS 11 révèle également que 30 % des applications présentent davantage de failles dans leurs bibliothèques de logiciels open source que dans le code écrit en interne. La principale leçon à tirer est que la sécurité des logiciels passe par une vision globale, qui comprend l’identification et le suivi du code tiers utilisé au sein des applications.
  • L’efficacité de DevSecOps est prouvée par l’utilisation de plusieurs types d’analyse : les équipes qui utilisent une combinaison de types d’analyse comprenant l’analyse statique (SAST), l’analyse dynamique (DAST) et l’analyse de la composition du logiciel (SCA) améliorent les taux de correction. Les équipes qui utilisent à la fois l’analyse statique et l’analyse dynamique corrigent la moitié des défauts 24 jours plus rapidement.
  • L’automatisation est importante : ceux qui automatisent les tests de sécurité dans le SDLC corrigent la moitié des défauts 17,5 jours plus vite que ceux qui effectuent des analyses moins automatisées.
  • Rembourser la dette de sécurité est essentiel : le lien entre les applications qui scannent fréquemment et les délais de correction plus rapides a été établi dans les précédents rapports SOSS de Veracode. Le rapport de cette année démontre également que la réduction de la dette de sécurité – en corrigeant l’arriéré des défauts connus – diminue le risque global. D’après le rapport SOSS 11, les applications plus anciennes présentant une forte densité de défauts connaissent des temps de correction beaucoup plus lents, ajoutant en moyenne 63 jours pour fermer la moitié des défauts.

Informations complémentaires :

  • Le Volume 11 du rapport SOSS est disponible ici
  • Plus d’infos sur le DevSecOps ici
Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.