Le rapport a également mis en évidence certaines bonnes pratiques permettant d’améliorer sensiblement ces taux de correction. Veracode a ainsi découvert que les équipes détiennent un contrôle très limité sur certains facteurs, et, à l’inverse, un contrôle très fort sur d’autres. Cette dichotomie a été catégorisée par Veracode comme suit : "nature vs. nurture". Dans la partie "nature", Veracode a pris en compte des facteurs tels que la taille de l’application, ainsi que celle de l’entreprise et de sa dette de sécurité ; le volet "nurture" prend en compte des actions telles que la fréquence de scan et le scan via les API.

Correction des failles de sécurité : Nature ou Nurture ?

Le rapport SOSS 11 révèle ainsi que le fait de traiter les failles au moyen de pratiques modernes telles que le DevSecOps permet d’augmenter drastiquement le taux de correction des vulnérabilités. Par exemple, le recours à plusieurs types d’analyse de sécurité logicielle, à des applications plus petites ou plus modernes, ou encore à l’intégration de tests de sécurité dans le pipeline via une API, font la différence puisqu’il réduit le temps nécessaire afin de corriger les défauts de sécurité, y compris dans les applications dont la « nature » n’est pas idéale.

« Le but de la sécurité logicielle n’est pas de coder les applications parfaitement du premier coup, mais de trouver et de corriger les défauts de manière efficace et rapide, a déclaré Chris Eng, Chief Research Officer chez Veracode. Même lorsqu’ils sont confrontés aux environnements les plus difficiles, les développeurs peuvent prendre des mesures spécifiques pour améliorer la sécurité globale de l’application avec la formation et les outils appropriés ».

Conclusions clés du rapport SOSS 11

Les applications défaillantes sont la norme : 76% des applications présentent au moins une faille de sécurité, mais seulement 24% présentent des failles graves. Il s’agit d’un signe encourageant, puisque la plupart des applications ne présentent pas de vulnérabilités critiques posant des risques sérieux. Une analyse fréquente peut réduire de plus de trois semaines le temps nécessaire pour corriger la moitié des failles observées.

Les failles de sécurité des logiciels open source sont de plus en plus nombreuses : alors que 70 % des applications héritent d’au moins une vulnérabilité de leurs bibliothèques de logiciels open source, le SOSS 11 révèle également que 30 % des applications présentent davantage de failles dans leurs bibliothèques de logiciels open source que dans le code écrit en interne. La principale leçon à tirer est que la sécurité des logiciels passe par une vision globale, qui comprend l’identification et le suivi du code tiers utilisé au sein des applications.

L’efficacité de DevSecOps est prouvée par l’utilisation de plusieurs types d’analyse : les équipes qui utilisent une combinaison de types d’analyse comprenant l’analyse statique (SAST), l’analyse dynamique (DAST) et l’analyse de la composition du logiciel (SCA) améliorent les taux de correction. Les équipes qui utilisent à la fois l’analyse statique et l’analyse dynamique corrigent la moitié des défauts 24 jours plus rapidement.

L’automatisation est importante : ceux qui automatisent les tests de sécurité dans le SDLC corrigent la moitié des défauts 17,5 jours plus vite que ceux qui effectuent des analyses moins automatisées.

Rembourser la dette de sécurité est essentiel : le lien entre les applications qui scannent fréquemment et les délais de correction plus rapides a été établi dans les précédents rapports SOSS de Veracode. Le rapport de cette année démontre également que la réduction de la dette de sécurité - en corrigeant l’arriéré des défauts connus - diminue le risque global. D’après le rapport SOSS 11, les applications plus anciennes présentant une forte densité de défauts connaissent des temps de correction beaucoup plus lents, ajoutant en moyenne 63 jours pour fermer la moitié des défauts.