76 % des applications présentent au moins une faille de sécurité. C’est l’un des chiffres à retenir du dernier rapport State of Software Security (SOSS) de Veracode. A relier à un autre pourcentage : 50 % des vulnérabilités logicielles restent ouvertes six mois après leur identification.
Ce rapport révèle que la majorité des applications contient au moins une faille de sécurité – 24 % présentent même des failles graves. Il note aussi que les failles de sécurité des logiciels open source sont de plus en plus nombreuses : alors que 70 % des applications héritent d’au moins une vulnérabilité de leurs bibliothèques de logiciels open source, le SOSS révèle également que 30 % des applications présentent davantage de failles dans leurs bibliothèques de logiciels open source que dans le code écrit en interne.
Le DevSecOps à la rescousse
Cela dit, la correction de ces vulnérabilités prend généralement plusieurs mois. L’analyse de 130 000 applications démontre qu’il faut environ six mois aux équipes pour combler la moitié des failles de sécurité qu’elles découvrent. Peut-on faire mieux ?
Le rapport SOSS met en lumière que le fait de traiter les failles au moyen de pratiques modernes telles que le DevSecOps permet d’augmenter drastiquement le taux de correction des vulnérabilités. Par exemple, le recours à plusieurs types d’analyse de sécurité logicielle, à des applications plus petites ou plus modernes ou encore à l’intégration de tests de sécurité dans le pipeline via une API font la différence puisqu’il réduit le temps nécessaire afin de corriger les défauts de sécurité, y compris dans les applications dont la « nature » n’est pas idéale. « Les équipes qui utilisent une combinaison de types d’analyse comprenant l’analyse statique (SAST), l’analyse dynamique (DAST) et l’analyse de la composition du logiciel (SCA) améliorent les taux de correction. Les équipes qui utilisent à la fois l’analyse statique et l’analyse dynamique corrigent la moitié des défauts 24 jours plus rapidement », détaille le rapport.
« Le but de la sécurité logicielle n’est pas de coder les applications parfaitement du premier coup, mais de trouver et de corriger les défauts de manière efficace et rapide, explique Chris Eng, Chief Research Officer chez Veracode. Même lorsqu’ils sont confrontés aux environnements les plus difficiles, les développeurs peuvent prendre des mesures spécifiques pour améliorer la sécurité globale de l’application avec la formation et les outils appropriés ».
