Définitions :
– CVE (Common Vulnerabilities and Exposures) : liste de failles de sécurité informatique.
– CVSS (Common Vulnerability Scoring System) : système pour évaluer les risques de sécurité et prioriser chaque vulnérabilité découverte.

« Les équipes DevSecOps du monde entier doivent s’adapter au dynamisme du monde de la sécurité logicielle, un domaine où la satisfaction de la demande passe fréquemment par des innovations et où l’adoption de l’IA progresse à un rythme effréné », déclare Yoav Landman, CTO et cofondateur de JFrog. « Nos données fournissent aux équipes de sécurité et de développement un aperçu complet d’un écosystème logiciel en évolution rapide. Elles identifient notamment des erreurs quant à l’évaluation de vulnérabilités notoires, offrent des perspectives sur les implications de l’utilisation d’IA génératives pour écrire du code, ou signalent les paquets les plus risqués qu’une organisation pourrait utiliser en développement, tout cela pour favoriser la prise de décisions plus éclairées. »

Le rapport JFrog Software Supply Chain State of the Union 2024 réunit des données d’utilisation de développeurs de plus de 7 000 organisations issues de JFrog Artifactory ; des analyses de vulnérabilités courantes produites par l’équipe JFrog Security Research ; ainsi que des données issues d’enquêtes tierces menées auprès de 1 200 professionnels des nouvelles technologies du monde entier. Tous ces éléments permettent d’offrir plus de contexte sur le paysage vaste et dynamique de la chaîne d’approvisionnement logicielle.

Voilà les principaux enseignements de l’enquête :
• Les CVEs sont parfois trompeuses : les évaluations traditionnelles du CVSS s’intéressent uniquement à la sévérité de la vulnérabilité au lieu de la probabilité qu’elle soit exploitée – une analyse qui nécessite la prise en compte du contexte. L’équipe JFrog Security Research a abaissé la sévérité de 85 % des CVEs classées comme Critiques et de 73 % des CVEs classées comme Elevées en moyenne après avoir analysé 212 CVEs notoires découvertes en 2023. En outre, JFrog a découvert qu’au sein du top 100 des images publiées par la communauté Docker Hub, 74 % des CVEs courantes dont le niveau de criticité était classé comme Élevé et Critique par le CVSS n’étaient pas exploitables.
• Les attaques en déni (Dos) de service règnent en maître : 44 % des 212 CVEs notoires analysées par l’équipe JFrog Security Research risquaient de favoriser des attaques DoS, tandis que 17 % d’entre elles étaient susceptibles d’ouvrir la voie à l’exécution de code à distance (RCE). Il s’agit en quelque sorte d’une bonne nouvelle pour les équipes de sécurité, car cette dernière pratique a un impact bien plus important par rapport aux attaques DoS en raison de leur capacité à offrir un accès complet à des systèmes backend.
• La sécurité pèse sur la productivité : 40 % des personnes interrogées affirment qu’il faut généralement une semaine ou plus pour obtenir l’autorisation d’utiliser un nouveau package/bibliothèque, ce qui retarde le lancement de nouvelles applications ou de mises à jour logicielles. En outre, les équipes de sécurité consacrent près de 25 % de leur temps à corriger des vulnérabilités, même lorsque celles-ci sont potentiellement surévaluées ou inexploitables au vu du contexte.
• Une exécution des contrôles de sécurité sans cohérence pendant le cycle de développement des logiciels (SLDC) : l’industrie semble équitablement partagée quant au moment idéal pour réaliser les tests sur la sécurité des applications au sein du cycle de développement. Tout ceci souligne l’importance de conjuguer les approches « shift left » et « shift right ». Ainsi, 42 % des développeurs affirment qu’il vaut mieux réaliser des analyses de sécurité pendant l’écriture du code, tandis que 41 % d’entre eux estiment qu’il est préférable de scanner les nouveaux paquets avant de les introduire dans leur organisation depuis un référentiel de logiciels open source (OSS).
• La prolifération des outils de sécurité se poursuit : près de la moitié (47 %) des informaticiens utilisent entre quatre et neuf solutions de sécurité pour les applications. Cependant, un tiers des répondants et des professionnels de la sécurité (33 %) en utilisent au moins 10. Cela confirme la tendance du marché à vouloir consolider les outils de sécurité et à s’éloigner des solutions ponctuelles.
• L’utilisation disproportionnée d’outils d’IA/ML pour la sécurité : alors que 90 % des personnes interrogées indiquent que leur organisation propose actuellement des outils d’intelligence artificielle/de machine learning pour soutenir leurs efforts d’analyse et de correction des vulnérabilités, seul 1 professionnel sur 3 (32 %) affirme que ces outils sont utilisés pour écrire du code. Cet écart suggère que la majorité des entreprises se méfient encore des vulnérabilités potentielles que le code développé par une IA générative (Gen AI) pourrait introduire dans leurs logiciels.
« Les vulnérabilités augmentent d’année en année, mais cela ne veut pas nécessairement dire qu’il en est de même de leur gravité. Il est clair que les équipes informatiques sont prêtes à investir dans de nouveaux outils pour renforcer leur sécurité. Cependant, pour protéger de bout en bout le cycle de développement des logiciels, il est essentiel que les organisations sachent où placer ces outils, comment utiliser le temps de leurs équipes, et comment rationaliser leurs processus », déclare Shachar Menashe, Sr. Director, JFrog Security Research. « Nous avons conçu ce rapport pour aller au-delà de l’analyse des tendances, et proposer à la fois des conseils et des éclairages sur les technologies exploitées par les dirigeants pour prendre des décisions, qu’’il s’agisse de navigation assistée par l’IA, de code malveillant ou de solutions de sécurité. »

Le rapport Software Supply Chain State of the Union 2024 complet est disponible sur simple demande.