52% des développeurs mettent à jour leurs composants

0

CA Veracode , la division de sécurisation des applications de CA Technologies, vient de publier de une nouvelle étude qui souligne l’écart entre la sécurité réelle des composants open source et les bonnes pratiques de sécurité à adopter. Selon cette étude, menée par le cabinet Vanson Bourne à la demande de CA Technologies, seulement 52% des développeurs mettent à jour leurs composants (commerciaux ou open source) dans leurs applications lorsqu’une nouvelle faille de sécurité est dévoilée. Ces mauvaises pratiques de sécurité exposent les organisations à des risques de failles telles que WannaCry il y a une année.

Les processus de développement tels que le DevSecOps contribuent pourtant à améliorer la sécurité du code. Cependant, ces mêmes processus de développement valorisent la vitesse et l’efficacité pour répondre aux exigences de l’économie des applications. Par conséquent, les développeurs s’appuient sur des composants qui empruntent des fonctions de bibliothèques de code existantes. L’étude montre que 83% des sondés utilisent soit des composants commerciaux et des composants open source.

Même si les composants améliorent l’efficacité des développeurs et que leur utilisation est considérée comme une bonne pratique, ces mêmes composants présentent des risques de sécurité. Malgré une moyenne de 71 vulnérabilités par application introduites, à cause de l’utilisation de composants tiers, seulement 23% des personnes interrogées ont déclaré avoir testé les vulnérabilités des composants à chaque version. Cela peut être dû au fait que seulement 71% des organisations déclarent avoir mis en place un programme de sécurité applicative.

De plus, seulement 53% des entreprises conservent un inventaire de tous les composants de leurs applications. Selon le Rapport sur la sécurité des logiciels 2017 (State of Software Security, Octobre 2017), moins de 28% des entreprises effectuent des analyses de composition régulières pour comprendre quels composants sont intégrés dans leurs applications.

« Nous savons que les développeurs se soucient plus de la création du prochain code génial, que de la sécurité », explique Pete Chestna, directeur de l’engagement des développeurs chez CA Veracode. « Pour réussir, les développeurs doivent avoir une vision claire de la politique de sécurité et des outils pour la mesurer. Lorsque l’objectif est clair et que nous permettons aux développeurs d’accéder à ces outils, ils sont en mesure d’intégrer la sécurité plus tôt dans le SDLC (Software Development Life Cycle – cycle de développement logiciel) et de prendre des décisions éclairées. Grâce à cela, nous voyons une amélioration marquée dans le développement de logiciels sécurisés et les résultats qui en découlent ».

Cette étude montre que les équipes de développement (44%) ou de sécurité (31%) sont les plus susceptibles d’être responsables de la maintenance des composants commerciaux et open source tiers, ce qui suggère une évolution vers la responsabilité de l’équipe de développement. Alors que la sensibilisation aux risques open source continue de croître, fournir aux développeurs les solutions, les formations et la visibilité nécessaires pour atténuer les risques devient un élément essentiel de l’approche de développement de la Modern Software Factory qui permet de créer de meilleures applications plus sécurisées plus rapidement.

About Author

Globb Security France

Leave A Reply