Veracode a révélé des informations qui pourraient faire gagner du temps et de l’argent aux organisations en aidant les concepteurs à réduire l’introduction et l’accumulation de défauts de sécurité dans leur application logicielle.
Leur rapport a découvert que l’accumulation de défauts au fil du temps est telle que 32 % des applications présentent des défauts lors de la toute première analyse et au moment où elles sont en production depuis cinq années, 70 % incluent au moins un défaut de sécurité.
Avec le coût d’une violation d’informations s’élevant en moyenne à 4,35 millions de dollars, les groupes doivent donner la priorité à la correction au début du processus de développement logiciel afin de réduire le risque déclenché par l’accumulation de défauts .
« Comme toutes nos études, nous nous sommes efforcés de fournir des informations que les concepteurs peuvent utiliser dès maintenant. À partir des résultats de cette année, 2 facteurs essentiels à prendre en compte ont émergé : comment réduire la possibilité que des défauts soient présentés dans le premier emplacement et comment minimiser le nombre de ces défauts qui sont présentés. Outre les contrôles d’accès techniques, les pratiques de codage sécurisé sont d’autant plus importantes pour la cybersécurité en 2023 et au-delà », a déclaré Chris Eng, CRO chez Veracode.
Aucune corrélation directe entre le développement de l’application et le défaut i ntro
Après l’analyse préliminaire, les applications entrent rapidement dans une « période de lune de miel » de stabilité, et 80 % ne gèrent aucune toute nouvelle faille pendant les 1,5 premières années. Après ce point, cependant, la variété de nouveaux défauts présentés recommence à grimper pour atteindre environ 35 % au bout de cinq ans.
L’étude a révélé que la formation des concepteurs, l’utilisation de nombreux types de numérisation, y compris la numérisation au moyen d’API et la fréquence d’analyse sont des facteurs influents pour réduire la possibilité d’introduction de défauts, ce qui suggère que les équipes devraient en faire des éléments clés de leurs programmes de sécurité des applications logicielles.
Le fait de sauter des mois entre les analyses est en corrélation avec une possibilité accrue que des défauts soient découverts lors de l’exécution d’une analyse. Les principaux défauts des applications varient selon le type de test, ce qui met en évidence l’importance d’utiliser de nombreux types d’analyse pour garantir que les défauts difficiles à identifier ne sont pas manqués.
La fragilité de l’open source
En se concentrant davantage sur la nomenclature des applications logicielles au cours de l’année écoulée, l’équipe d’étude de recherche de Veracode a également analysé 30 000 référentiels open source hébergés publiquement sur GitHub. Fait intéressant, 10 % des référentiels n’avaient pas eu de dédicace – une modification du code source – depuis près de six ans.
« L’utilisation d’un service d’analyse de la structure logicielle (SCA) qui exploite plusieurs sources de défauts, au-delà de la base de données nationale des vulnérabilités, offrira une alerte avancée aux groupes une fois qu’une vulnérabilité est révélée et leur permettra de mettre en œuvre des protections plus rapidement, idéalement avant le début de l’exploitation. Il est également conseillé de définir des politiques organisationnelles autour de la détection et de la gestion des vulnérabilités, ainsi que de réfléchir aux moyens de réduire les dépendances à des tiers », a déclaré Eng.
Actions vers le succès
L’étude de recherche de Veracode expose les étapes clés que les équipes de sécurité et d’avancement doivent suivre :
- S’attaquer à la dette technique ou de sécurité aussi tôt et rapidement que possible. La courbe d’élimination devrait tomber plus tôt et plus rapidement car une application aura accumulé des défauts au moment où elle aura 2 ans. Que ce soit en raison de la complexité croissante des années de croissance stable ou de la concentration décroissante sur l’avancement des applications, ce schéma se poursuit vers le haut, suggérant qu’il existe une possibilité de 90 % qu’une application contienne au moins un défaut d’ici 10 ans. L’analyse fréquente à l’aide d’une variété d’outils aide à trouver et à réparer les failles qui auraient pu être introduites ou accumulées progressivement.
- Concentrez-vous sur l’automatisation et la formation à la sécurité des développeurs pour offrir une compréhension des vulnérabilités sont les plus susceptibles d’être introduits, en plus des techniques visant à empêcher complètement la présentation de défauts. En général, les données révèlent une possibilité de 27 % que de nouveaux défauts soient présentés dans une application au cours de n’importe quel mois proposé. Les organisations qui analysent via l’API réduisent cette probabilité à 25 %. Ceux qui totalisent 10 laboratoires de sécurité (une plate-forme de formation offrant une expérience pratique de détection et de correction des vulnérabilités) réduisent également la probabilité d’introduction de failles de 1,8 % au cours d’un mois donné.
- Établissez un protocole de gestion du cycle de vie des applications qui inclut la gestion des modifications, l’allocation des ressources et les contrôles organisationnels. Étudiez à quoi ressemblent les étapes de prise en charge et de contrôle de la qualité dans votre entreprise. Les conversations initiales peuvent aboutir à une obsolescence préparée pour certaines applications et à un examen des procédures et des procédures de contrôle qualité impliquées dans l’ingénierie constante des produits.
« Avec le rapport sur l’état des logiciels de Veracode, il est remarquable de prendre un examinez l’accumulation et le comportement des failles en mettant en jeu près de deux décennies de données. L’étendue et la profondeur des informations nous permettent non seulement d’identifier les meilleures pratiques, mais également certains des éléments les plus subtils qui doivent être pris en compte au début du processus de développement pour réduire les risques plus tard », a déclaré Jay Jacobs, Data Scientist. à l’Institut Cyentia.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
