Veracode a publié des données révélant que le marché des services financiers se classe parmi les meilleurs pour le pourcentage de défauts généraux par rapport aux autres marchés, mais a l’un des taux de correction les plus abordables pour les failles de sécurité des applications logicielles. Le secteur se situe également au milieu du peloton pour les failles de haute gravité, avec 18 % des applications comprenant une vulnérabilité majeure, recommandant aux entreprises monétaires de se concentrer sur l’identification et la correction des défauts les plus importants.
Les résultats ont été présentés dans le rapport annuel sur l’état de la sécurité des applications logicielles v12 de la société, qui a analysé 20 millions d’analyses sur un demi-million d’applications dans les secteurs de la finance, de l’innovation, de la production, de la vente au détail, de la santé et du gouvernement. Parmi les 6 industries, le secteur monétaire a la deuxième plus faible proportion d’applications incluant des défauts de sécurité, à 73 %.
Dans le rapport de 2015, le marché affichait la variété la plus abordable de failles de sécurité des applications logicielles dans tous les secteurs, mais a été dépassé par la fabrication dans l’étude de cette année. Bien qu’il ait globalement moins de défauts, le secteur des services financiers arrive en dernier avec la technologie et le gouvernement fédéral pour la plus faible proportion de défauts réparés.
« L’un des avantages de servir le quartier du développement de logiciels pendant de nombreuses années est que Veracode peut voir des modifications dans les pratiques d’avancement dans les industries avec le temps. Nous avons constaté que même si les applications des services monétaires ont moins de failles de sécurité qu’en 2015, le secteur est à la traîne par rapport aux autres industries en ce qui concerne le taux de réparation. Nos recherches ont montré que la formation à la sécurité peut considérablement améliorer la remédiation. vitesses, et que les entreprises dont les équipes d’avancement avaient terminé une formation pratique à l’aide d’applications réelles établissent des défauts 35 % beaucoup plus rapidement que celles qui n’ont pas une telle formation », a déclaré Chris Eng, directeur de la recherche chez Veracode.
Sécurisation la chaîne d’approvisionnement mondiale des applications logicielles
Bien qu’il y ait incontestablement encore des progrès à faire en ce qui concerne à la fois la prévalence des défauts et et les taux de remédiation, lorsque les sociétés de services monétaires réparent les vulnérabilités, elles agissent à une vitesse plus rapide que la plupart. comme le RGPD et les lois sur la cybersécurité du département des fournisseurs financiers de New York, a mis en évidence la valeur de la sécurisation de la chaîne d’approvisionnement des logiciels. Le fait d’être un secteur hautement réglementé pourrait expliquer en partie la vitesse relative de l’industrie monétaire à traiter les bibliothèques vulnérables trouvées grâce à l’analyse de la composition logicielle (SCA). »
Les failles dans les bibliothèques tierces découvertes grâce à la SCA ont tendance à persister plus longtemps pour toutes les industries, avec 30% toujours instables après des années 2. Lorsqu’il s’agit de traiter les vulnérabilités open source, cependant, le secteur financier remédie au même rythme que les autres industries pour la première année, mais accélère ensuite son rythme pour acquérir un mois sur la moyenne intersectorielle.
Le secteur financier dépasse la plupart des autres marchés en termes de temps de réparation pour les défauts découverts par dynamique, SCA et statique, l’étude de recherche a révélé qu’il y a encore amplement de place pour une amélioration continue lors de la recherche au nombre de jours nécessaires pour traiter 50 % des défauts : 116 jours pour une analyse dynamique, 385 jours pour une analyse SCA et 288 jours pour une analyse statique.
Avec des éléments tiers comprenant autant comme 90 Pour cent de la base de code d’une application, l’analyse précoce et souvent à l’aide d’une combinaison de types de filtrage réduit le travail de résolution des situations d’urgence imprévues et atténue le risque d’introduire des failles de sécurité tierces dans l’application logicielle.
Toute l’actualité en temps réel, est sur L’Entrepreneur
