Seuls 3 % des vulnrabilits de code « critiques » seraient attaquables, ce qui pourrait permettre aux dveloppeurs de mieux hirarchiser leurs efforts Et rduire leur charge de travail

LinkedIn est la marque la plus usurpe par les cybercriminels et reprsente 52 % de toutes les attaques de phishing mondiales Il s'agit d'une hausse de 44 % par rapport au trimestre prcdent



L’tude de la socit ShiftLeft, spcialise dans les tests de scurit automatiss, montre que le fait de se concentrer sur ces 3 % permet aux quipes d’acclrer et de simplifier considrablement leurs efforts. ShiftLeft a constat une amlioration de 37 % par rapport l’anne dernire du temps moyen pour remdier aux nouvelles vulnrabilits, avec un temps d’analyse mdian de 1 minute 30 secondes.

Des analyses plus rapides, l’insertion automatique dans les pipelines de CI et une plus grande couverture d’analyse dans un plus grand nombre de langues ont galement permis aux quipes AppSec de passer d’une analyse mensuelle ou hebdomadaire des vulnrabilits une analyse quotidienne. Le rapport fait tat d’une augmentation de 68 % des analyses quotidiennes d’une anne sur l’autre.

En identifiant et en priorisant les vulnrabilits OSS qui sont rellement attaquables, les quipes AppSec et les dveloppeurs corrigent ce qui est important, livrent le code plus rapidement et amliorent rellement la scurit avec des corrections moins nombreuses et plus efficaces.

« D’aprs nos rsultats, deux quipes de dveloppement sur trois perdent littralement du temps sur les 97 % de correctifs qui ne sont pas attaquables et qui n’apportent que peu de bnfices en termes de scurit« , explique Manish Gupta, PDG de ShiftLeft. « D’un autre ct, les quipes qui dplacent la scurit vers la gauche et se concentrent sur l’attaquabilit expdient du code plus sr, plus frquemment. Cela amliore clairement la scurit de leurs applications tout en amliorant la productivit des dveloppeurs et la vlocit des produits. »

ShiftLeft s’est galement pench sur les analyses de la vulnrabilit Log4J et a cartographi les flux de donnes rels dans les applications de production en combinant les rsultats des analyses SAST (Static Application Security Testing) et SCA (Software Composition Analysis). Cette analyse a rvl que seuls 4 % de toutes les instances de Log4J taient en fait vulnrables. Les quipes qui disposaient de cette information ont conomis des mois de temps perdu rechercher et rparer des instances Log4J qui ne prsentaient que peu ou pas de risque.

Source : ShiftLeft

Et vous ?

Trouvez-vous cette tude pertinente ?

Voir aussi :

52 % des applications du secteur de la sant prsentent au moins une vulnrabilit srieuse – classe « leve » ou « critique » sur l’chelle CVSS – ouverte tout au long de l’anne, selon NTT

Les entreprises mettent prs de deux mois corriger les vulnrabilits critiques, avec un dlai moyen de correction (MTTR) de 60 jours, 57% de ces vulnrabilits ont plus de deux ans, selon Edgescan

28 % des entreprises prsentent des vulnrabilits critiques qui pourraient facilement tre exploites par une cyberattaque, qui demeurent incorriges malgr les signalements, selon Bulletproof

Le dlai moyen d’exploitation des vulnrabilits est de 12 jours, contre 42 jours l’anne dernire, et cela constitue un risque majeur pour les entreprises, selon un rapport de Rapid7



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.