70 % des applications prsentent au moins une faille de scurit aprs 5 ans de production, selon un rapport de la socit de tests de scurit Veracode

LinkedIn est la marque la plus usurpe par les cybercriminels et reprsente 52 % de toutes les attaques de phishing mondiales Il s'agit d'une hausse de 44 % par rapport au trimestre prcdent



De mme que les machines deviennent moins fiables avec l’ge et que les gens dveloppent plus de problmes de sant avec le temps, il semble que les logiciels soient plus susceptibles d’avoir des failles de scurit un stade avanc de leur dure de vie.

Un nouveau rapport de la socit de tests de scurit Veracode montre que si 32 % des applications prsentent des failles lors de la premire analyse, prs de 70 % d’entre elles contiennent au moins une faille de scurit aprs cinq ans de production.

Le rapport suggre aux quipes de donner la priorit la correction des failles au dbut du cycle de vie du dveloppement logiciel afin de minimiser les risques causs par l’accumulation des failles.

Chris Eng, directeur de la recherche chez Veracode, dclare : « Comme pour toutes nos tudes, nous nous efforons de fournir des informations que les dveloppeurs peuvent mettre en uvre immdiatement. Les rsultats de cette anne font ressortir deux considrations importantes : comment rduire le risque d’introduction de failles en premier lieu, et comment rduire le nombre de ces failles qui sont introduites. Outre les contrles d’accs techniques, les pratiques de codage scuris sont d’autant plus cruciales pour la cyberscurit en 2023 et au-del.« 

Aprs l’analyse initiale, les applications entrent rapidement dans une « priode de lune de miel » de stabilit, et prs de 80 % ne prsentent aucune nouvelle faille pendant les 1,5 premires annes. Aprs cette priode, cependant, le nombre de nouvelles failles introduites commence augmenter nouveau, pour atteindre environ 35 % au bout de cinq ans. Lorsqu’un logiciel atteint le cap des 10 ans, il y a 90 % de chances qu’il prsente au moins une faille.

L’quipe de recherche de Veracode a galement examin 30 000 dpts de logiciels libres hbergs publiquement sur GitHub. Il est intressant de noter que 10 % des dpts n’avaient pas fait l’objet d’un commit – une modification du code source – depuis prs de six ans.

« L’utilisation d’une solution d’analyse de la composition des logiciels (SCA) qui exploite plusieurs sources de failles, au-del de la base de donnes nationale sur les vulnrabilits, avertira les quipes ds qu’une vulnrabilit sera divulgue et leur permettra de mettre en place des mesures de protection plus rapidement, en esprant qu’elles ne soient pas exploites« , ajoute M. Eng. « La dfinition de politiques organisationnelles autour de la dtection et de la gestion des vulnrabilits est galement recommande, de mme que l’examen des moyens de rduire les dpendances vis–vis des tiers.« 

Le rapport recommande aux quipes de scurit et aux dveloppeurs de s’attaquer aux dettes techniques ou de scurit aussi tt et rapidement que possible. Ils devraient galement donner la priorit l’automatisation et la formation des dveloppeurs la scurit afin de leur permettre de comprendre quelles sont les vulnrabilits les plus susceptibles d’tre introduites, ainsi que les techniques permettant d’viter compltement l’introduction de failles.

Source : Veracode

Et vous ?

Quel est votre avis sur le sujet ?

Qu’en est-il au sein de votre entreprise ?

Voir aussi :

Annonce d’une faille de scurit dans Git pour Windows

Microsoft trouve une faille critique dans un systme d’exploitation qui, pour une fois, n’est pas Windows

Un nouveau groupe de travail sur la cyberscurit affirme que la faille du logiciel Log4j est « endmique »



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.