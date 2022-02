Rapport SoSS 12, On n’arrête plus le DevSecOps !

février 2022 par Veracode

Veracode a publié son dernier rapport SoSS sur l’état de la sécurité logicielle. Celui-ci révèle que la plupart des applications sont désormais scannées environ trois fois par semaine, contre seulement deux ou trois fois par an il y a dix ans. Cela représente une multiplication par 20 de la cadence moyenne d’analyse entre 2010 et 2021. La fréquence des analyses a également augmenté de façon spectaculaire, les développeurs testant désormais plus de 17 nouvelles applications par trimestre, soit plus du triple du nombre d’applications analysées au cours de la même période il y a dix ans.

L’étude Veracode State of Software Security (SoSS) v12, qui a analysé plus d’un demi-million d’applications, révèle de nouvelles données provenant d’un échantillon représentatif de grandes et moyennes entreprises, de fournisseurs de logiciels commerciaux et de projets open-source. Avec des études montrant que 4,66 milliards d’utilisateurs sont actifs sur Internet dans le monde[1] notre planète est plus connectée que jamais. « Numériser les logiciels comme une étape de pré-production dans la dernière phase du cycle de vie du développement logiciel n’est plus suffisant », explique Chris Wysopal, cofondateur et directeur de la technologie chez Veracode. « A l’instar des logiciels qui sont désormais déployés en continu, l’analyse à l’aide d’une variété d’outils de test doit également se faire en continu et faire partie intégrante du processus ».

Les entreprises qui recourent à plusieurs types d’analyse corrigent les failles plus rapidement

Les tests de sécurité sollicitant plusieurs types d’analyse deviennent rapidement la norme, car les entreprises reconnaissent la nécessité d’analyser les applications qu’elles conçoivent sous plusieurs angles. Plus que jamais, les entreprises utilisent une combinaison de types de scan pour sécuriser leurs logiciels, avec une augmentation de 31 % de l’utilisation combinée de l’analyse statique, dynamique et de la composition logicielle entre 2018 à 2021. Cette tendance s’inscrit dans la continuité du rapport State of Software Security v11 de l’année dernière, qui révélait que les entreprises utilisant le scan dynamique en plus du scan statique remédiaient aux failles 24 jours plus vite, et que l’inclusion de l’analyse de la composition logicielle permettait de gagner six jours supplémentaires.

Le temps est une monnaie compétitive pour les équipes de développement logiciel

Le besoin en rapidité a poussé les équipes de développement logiciel à adopter des méthodologies agiles et des outils d’automatisation des processus, ainsi que des technologies natives du cloud, des logiciels open source et des microservices. Si ces tendances ont augmenté la vitesse du développement logiciel, elles ont également introduit de nouvelles complexités et de nouveaux risques.

« La profusion d’applications plus modulaires, notamment au cours des deux dernières années, a entraîné une forte augmentation du nombre d’applications scannées », indique Chris Eng, Directeur de la recherche chez Veracode. « En 2018, environ 20 % des applications comprenaient plusieurs langages, mais ce chiffre a pris du plomb dans l’aile pour atteindre 5 %. Cela suggère un pivot vers la construction d’applications plus petites qui effectuent une seule tâche, ce qui est cohérent avec la popularité croissante des microservices. »

DevSecOps : les entreprises récoltent les fruits de la formation des développeurs en matière de sécurité

Outre les améliorations de la cadence d’analyse et de la capacité de remédiation, l’étude de Veracode a mis en évidence l’impact positif de la formation interactive à la sécurité. Les entreprises dont les développeurs ont suivi au moins une leçon via le Veracode Security Lab - un programme de formation pratique utilisant des applications réelles - ont corrigé les failles 35 % plus rapidement que les celles dont les développeurs n’ayant pas suivi une telle formation. « Avec si peu de programmes enseignant la sécurité applicative à l’université, le pouvoir de la formation avec des applications réelles et vulnérables dans un environnement sûr et guidé ne peut être sous-estimé. Nos données démontrent que ceux qui participent aux ateliers de formation peuvent avoir une longueur d’avance lorsqu’il s’agit de comprendre l’origine des failles et de les corriger rapidement », poursuit Chris Eng.

« Notre objectif est d’aider les entreprises à prendre des décisions éclairées concernant leurs programmes de sécurité applicative », conclut Chris Wysopal. « Cela signifie qu’elles peuvent non seulement minimiser les risques, mais aussi répondre à des réglementations de plus en plus prescriptives. Les résultats de cette dernière étude SoSS nous permettent d’espérer que la sécurité des applications fait l’objet d’une attention accrue, et que l’attention supplémentaire des médias et des gouvernements a un impact positif. »

Méthodologie

L'étude State of Software Security v12 a analysé l'ensemble des données historiques des services et des clients de Veracode. Cela représente un total de plus d'un demi-million d'applications (592 720) qui ont utilisé tous les types d'analyse, plus d'un million d'analyses dynamiques (1 034 855), plus de cinq millions d'analyses statiques (5 137 882) et plus de 18 millions d'analyses de composition logicielle (18 473 203). Tous ces scans ont produit 42 millions de résultats statiques bruts, 3,5 millions de résultats dynamiques bruts et six millions de résultats SCA bruts. Les données représentent de grandes et petites entreprises, des fournisseurs de logiciels commerciaux, des sous-traitants de logiciels et des projets de logiciels libres. Dans la plupart des analyses, une application n'a été comptée qu'une seule fois, même si elle a été soumise plusieurs fois au fur et à mesure que les vulnérabilités étaient corrigées et que de nouvelles versions étaient mises en ligne.

