Veracode, le plus grand fournisseur mondial de solutions de test de sécurité des applications, a publié aujourd’hui son dernier rapport SoSS sur l’état de la sécurité logicielle. Celui-ci révèle que la plupart des applications sont désormais scannées environ trois fois par semaine, contre seulement deux ou trois fois par an il y a dix ans.
Tribune – Cela représente une multiplication par 20 de la cadence moyenne d’analyse entre 2010 et 2021. La fréquence des analyses a également augmenté de façon spectaculaire, les développeurs testant désormais plus de 17 nouvelles applications par trimestre, soit plus du triple du nombre d’applications analysées au cours de la même période il y a dix ans.
- Le rapport de Veracode sur l’état de la sécurité logicielle révèle que la cadence moyenne d’analyse des applications par les entreprises a été multipliée par 20 depuis 2010.
- Le nombre d’applications analysées pour détecter les failles de sécurité par trimestre a plus que triplé au cours de la dernière décennie.
- Les entreprises qui dispensent une formation pratique sur la sécurité à leurs développeurs corrigent les failles logicielles 35 % plus rapidement.
L’étude Veracode State of Software Security (SoSS) v12, qui a analysé plus d’un demi-million d’applications, révèle de nouvelles données provenant d’un échantillon représentatif de grandes et moyennes entreprises, de fournisseurs de logiciels commerciaux et de projets open-source. Avec des études montrant que 4,66 milliards d’utilisateurs sont actifs sur Internet dans le monde notre planète est plus connectée que jamais.
« Numériser les logiciels comme une étape de pré-production dans la dernière phase du cycle de vie du développement logiciel n’est plus suffisant », explique Chris Wysopal, cofondateur et directeur de la technologie chez Veracode. « A l’instar des logiciels qui sont désormais déployés en continu, l’analyse à l’aide d’une variété d’outils de test doit également se faire en continu et faire partie intégrante du processus ».
Les entreprises qui recourent à plusieurs types d’analyse corrigent les failles plus rapidement
Les tests de sécurité sollicitant plusieurs types d’analyse deviennent rapidement la norme, car les entreprises reconnaissent la nécessité d’analyser les applications qu’elles conçoivent sous plusieurs angles. Plus que jamais, les entreprises utilisent une combinaison de types de scan pour sécuriser leurs logiciels, avec une augmentation de 31 % de l’utilisation combinée de l’analyse statique, dynamique et de la composition logicielle entre 2018 à 2021. Cette tendance s’inscrit dans la continuité du rapport State of Software Security v11 de l’année dernière, qui révélait que les entreprises utilisant le scan dynamique en plus du scan statique remédiaient aux failles 24 jours plus vite, et que l’inclusion de l’analyse de la composition logicielle permettait de gagner six jours supplémentaires.
Le temps est une monnaie compétitive pour les équipes de développement logiciel
Le besoin en rapidité a poussé les équipes de développement logiciel à adopter des méthodologies agiles et des outils d’automatisation des processus, ainsi que des technologies natives du cloud, des logiciels open source et des microservices. Si ces tendances ont augmenté la vitesse du développement logiciel, elles ont également introduit de nouvelles complexités et de nouveaux risques.
« La profusion d’applications plus modulaires, notamment au cours des deux dernières années, a entraîné une forte augmentation du nombre d’applications scannées », indique Chris Eng, Directeur de la recherche chez Veracode. « En 2018, environ 20 % des applications comprenaient plusieurs langages, mais ce chiffre a pris du plomb dans l’aile pour atteindre 5 %. Cela suggère un pivot vers la construction d’applications plus petites qui effectuent une seule tâche, ce qui est cohérent avec la popularité croissante des microservices. »