Alors que 80 % des entreprises utilisent des logiciels open source (OSS), chiffre qui devrait atteindre 99 % l’anne prochaine, seulement 1 % d’entre elles dclare ne pas s’inquiter de la scurit

LinkedIn est la marque la plus usurpe par les cybercriminels et reprsente 52 % de toutes les attaques de phishing mondiales Il s'agit d'une hausse de 44 % par rapport au trimestre prcdent



Le rapport de Synopsys, bas sur des recherches menes par Enterprise Strategy Group (ESG), montre qu’en rponse des attaques trs mdiatises de la chane d’approvisionnement, 73 % des personnes interroges dclarent avoir augment de manire significative leurs efforts pour scuriser la chane d’approvisionnement en logiciels de leur organisation.

Les mesures prises comprennent l’adoption d’une forme de technologie d’authentification multifactorielle (33 %), l’investissement dans des contrles de tests de scurit des applications (32 %) et l’amlioration de la dcouverte des actifs pour mettre jour l’inventaire de la surface d’attaque de leur organisation (30 %). Malgr ces efforts, 34 % des entreprises indiquent que leurs applications ont t exploites en raison d’une vulnrabilit connue dans un logiciel open source au cours des 12 derniers mois, et 28 % ont t victimes d’une exploitation de type « zero-day » inconnue jusqu’alors dans un logiciel open source.

La pression exerce pour amliorer la gestion des risques de la chane logistique logicielle a mis en lumire les nomenclatures logicielles (SBOM). Mais l’explosion de l’utilisation des logiciels libres et le manque de rigueur de la gestion des logiciels libres ont rendu la compilation des SBOM complexe – l’tude de l’ESG montre que 39 % des personnes interroges ont indiqu que cette tche tait un dfi pour l’utilisation des logiciels libres.

« Les entreprises constatent l’impact potentiel d’une vulnrabilit ou d’une violation de la scurit de la chane d’approvisionnement logicielle sur leurs activits en faisant la une des journaux. La priorit accorde une stratgie de scurit proactive est dsormais un impratif fondamental pour les entreprises« , dclare Jason Schmitt, directeur gnral du Software Integrity Group de Synopsys. « Si la gestion du risque li aux logiciels open source est un lment essentiel de la gestion du risque de la chane d’approvisionnement logicielle dans les applications natives du cloud, nous devons galement reconnatre que le risque s’tend au-del des composants open source. L’infrastructure en tant que code, les conteneurs, les API, les dpts de code – la liste est longue et doit tre prise en compte pour garantir une approche holistique de la scurit de la chane logistique logicielle. »

Les rsultats suggrent galement que, bien que la scurit axe sur les dveloppeurs et le « glissement vers la gauche » – un concept visant permettre aux dveloppeurs d’effectuer des tests de scurit plus tt dans le cycle de vie du dveloppement – se dveloppe parmi les entreprises qui crent des applications « cloud-natives », 97 % d’entre elles ont connu un incident de scurit impliquant leurs applications « cloud-natives » au cours des 12 derniers mois.

L’acclration des cycles de publication pose galement des problmes de scurit. Les quipes de dveloppement d’applications (41 %) et DevOps (45 %) s’accordent dire que les dveloppeurs ignorent souvent les processus de scurit tablis, tandis qu’une majorit de dveloppeurs d’applications (55 %) s’accordent dire que les quipes de scurit manquent de visibilit dans les processus de dveloppement.

Source : Synopsys

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

73% des organisations ont considrablement augment leurs efforts en matire de scurit de la chane logistique logicielle, suite aux vnements Log4Shell, SolarWinds et Kaseya, selon Synopsys

Synopsys prsente Code Sight Standard Edition pour permettre le dveloppement scuris de logiciels, en dtectant les vulnrabilits de scurit dans le code source et les dpendances open source

L’adoption des DevSecOps se poursuit dans le monde entier malgr les problmes de scurit, d’aprs une tude mene conjointement par Synospys, centre de recherche sur la cyberscurit, et Censuswide



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.