ShiftLeft a publié son deuxième rapport annuel sur le développement d’AppSec documentant les modèles vitaux de la sécurité des applications et la façon dont les organisations modifient la sécurité déléguée pour gérer le volume sans cesse croissant d’attaques et de vulnérabilités divulguées.
Diminution de 97 % des vulnérabilités des logiciels open source (OSS)
En déterminant et en hiérarchisant les vulnérabilités OSS qui sont en fait attaquables, les groupes et les développeurs AppSec réparent ce qui compte, expédient le code beaucoup plus rapidement et améliorent réellement la sécurité avec moins de correctifs, bien meilleurs.
Réduction de 37 % en glissement annuel du temps moyen de résolution (MTTR)
L’accent mis sur l’attaque et la réduction des positifs incorrects permettent aux concepteurs d’effectuer des réparations plus rapidement et réduire le MTTR. Cela améliore la posture de sécurité et réduit la probabilité d’attaques en réduisant le temps pendant lequel les vulnérabilités sont exposées. ShiftLeft a découvert que les groupes de développement réparaient 76 % des vulnérabilités attaquables en 2 sprints (12 jours).
90 2ème temps d’analyse moyen
Les analyses rapides permettent aux groupes d’analyser plus souvent, ce qui améliore la sécurité couverture pour les applications à itération rapide et permettant une bien meilleure protection des applications très volumineuses qui nécessitaient auparavant des heures ou des jours d’analyse.
Augmentation significative de la fréquence d’analyse
Analyses plus rapides, insertion automatisée dans les pipelines CI , et une meilleure protection contre les analyses dans un plus grand nombre de langues, ont également permis aux équipes AppSec de passer d’une analyse des vulnérabilités régulière mensuelle ou hebdomadaire à des analyses quotidiennes. Le rapport a suivi une augmentation de 68 % d’une année sur l’autre des analyses quotidiennes.
Exposition approximative de Log4j vulnérable à 4 %
En raison de la nature omniprésente et répandue de Log4j, de nombreux groupes de sécurité des applications avaient du mal à reconnaître toutes les circonstances de la bibliothèque de journalisation dans leur pile d’applications. Les instances masquées et imbriquées (dans les fichiers conteneurs, par exemple) ont déclenché des problèmes particuliers. ShiftLeft a analysé les analyses de la vulnérabilité Log4j et cartographié les flux d’informations réels via les applications de production en combinant les résultats de l’analyse Static Application Security Evaluating (SAST) et de l’analyse de la structure des applications logicielles (SCA). L’analyse a révélé que seulement 4% de toutes les circonstances Log4j étaient vulnérables. Les groupes qui avaient ces détails ont conservé des mois de temps perdu à rechercher et à réparer les circonstances Log4j qui présentaient peu ou pas de risque.
« Selon nos résultats, 2 groupes d’avancement sur trois perdent littéralement du temps sur les 97 % de réparations qui ne sont pas attaquables et offrent peu d’avantages en matière de sécurité », a déclaré Manish Gupta, PDG de ShiftLeft. « D’un autre côté, les équipes qui déplacent la sécurité vers la gauche et se concentrent sur l’attaque envoient plus régulièrement du code plus sûr et sécurisé. Cela améliore clairement la sécurité de leurs applications tout en améliorant les performances des développeurs et la vitesse des éléments. »
Le rapport souligne comment le fait de déplacer la sécurité des applications pour engager les développeurs auparavant dans le cycle de vie de l’avancement des logiciels conduit à des correctifs plus rapides et à moins d’énergie perdue en priorisant et en corrigeant les vulnérabilités qui présentent peu ou pas de danger. Cela souligne également l’importance d’une technique technologique holistique qui intègre à la fois SAST et SCA pour fournir une image claire de l’attaque et de la hiérarchisation ultérieure des réparations de sécurité afin de se concentrer moins sur la réparation de ce qui compte.
Toute l’actualité en temps réel, est sur L’Entrepreneur
