Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Open Source, DevSecOps, Cloud-Native : les trois prédictions de Veracode pour 2020

janvier 2020 par Nabil Bousselham, architecte de solutions informatiques chez Veracode

Après une année 2019 riche en enseignements en matière de cyber sécurité, c’est au tour de Veracode, expert mondial en sécurité applicative, de sortir sa boule de cristal et dévoiler quelques prédictions et tendances pour cette année 2020. Quelle sera la place de l’open source dans la création du code ? Le DevSecOps sera-il incontournable ? Le Cloud Native est certes tentant, mais rimera-t-il avec sécurité ? Autant de questions qui trouveront un début de réponse… ci-dessous !

L’open source sera un outil incontournable à la création du code

Aujourd’hui, jusqu’à 90% du code d’une application trouve son origine dans des composants open source. Les développeurs continueront donc de s’appuyer sur le développement collaboratif afin de concevoir leur code, utilisant ainsi des centaines de milliers de nouvelles bibliothèques.

Le recours à ces bibliothèques n’est pas un problème en soi : en revanche, il est crucial que les entreprises puissent déterminer quelles bibliothèques sont utilisées, comment les applications peuvent être impactées et si l’équipe de développement peut réagir assez rapidement aux nouvelles vulnérabilités identifiées. En ce sens, les entreprises auront de plus en plus recours à des solutions spécifiques en vue d’aider à identifier et à éviter les vulnérabilités introduites via les bibliothèques open source.

En d’autres termes, les développeurs devront utiliser leurs composants de code avec davantage de minutie. Trouver de nouvelles façons de surveiller, suivre et gérer les composants open source dans le code sera l’une des activités déterminantes auxquelles les développeurs devront, chacun, participer pour garantir la sécurité des logiciels.

Le Cloud-Native sera à la mode mais posera des questions en matière de sécurité

En 2020, les technologies « Cloud Native » deviendront de facto le choix des équipes de développement. Dans cette perspective, les développeurs n’auront donc que l’embarras du choix lors de la conception et la création d’applications logicielles.

La vision du logiciel en tant que construction monolithique est aujourd’hui désuète, et considérée comme un anti-modèle pour la stabilité et la vitesse du développement. En effet, de manière écrasante, les développeurs choisissent désormais des architectures qui permettent aux défaillances de se produire dans une partie du système, sans impacter le reste de l’écosystème. Les technologies Cloud Native permettent ainsi aux développeurs de travailler bien plus rapidement et efficacement.

Néanmoins, le Could Native pose un problème de sécurité. Une enquête de 2019 a en effet révélé que 35% des interrogés ne comprenaient pas comment traiter les vecteurs d’attaque spécifiquement liés aux applications Cloud Native. Pis, 33% ont admis que leurs équipes de développement n’impliquent pas d’experts en cybersécurité, de peur d’être ralentis.

Le DevSecOps deviendra l’un des standards du développeur

En 2019, on a pu observer comment les pratiques DevSecOps avaient permis, entre autres, d’identifier les principaux challenges auxquels les entreprises sont confrontées. L’un des défis prépondérants étant l’optimisation du temps de mise sur le marché. En effet, s’agissant de la sécurité applicative, elle doit conjuguer maintien de la vitesse de développement avec garantie de la sécurité du code. Les entreprises doivent également forger une culture de collaboration entre les équipes de sécurité et de développement. En 2020, le DevSecOps finira par s’imposer comme la norme utilisée par la plupart des entreprises pour améliorer le développement de logiciels sécurisés.

Au sein des entreprises, les équipes de développement sont de plus en plus enclines à intégrer la sécurité plus tôt dans le cycle de vie du développement logiciel. Réciproquement, les équipes de sécurité s’engagent plus activement du côté du développement, de sorte que les frictions entre les deux activités sont moins présentes que par le passé. Ainsi, en 2020, les entreprises envisageront le DevSecOps comme un moyen incontournable de résoudre les complexités de la gestion et de la sécurisation des applications Cloud Native.

Le dernier rapport sur l’état de la sécurité des logiciels (SoSS, Vol.10) a révélé que la correction des vulnérabilités faisait désormais autant partie du processus de développement que l’amélioration des fonctionnalités du logiciel. Cela suggère que les développeurs modifient, peu à peu, leur mentalité pour considérer la sécurité de leur code comme égale à d’autres mesures de valeur. Autant de raisons en faveur du DevSecOps en 2020.


Voir les articles précédents

    

Voir les articles suivants