D’aprs un nouveau rapport de la Linux Foundation Research et de l’Open Source Security Foundation (OpenSSF), prs d’un tiers des dveloppeurs logiciels ne sont pas familiers avec les pratiques de dveloppement de logiciels scuriss.
La Linux Foundation Research et l’Open Source Security Foundation ont publi un nouveau rapport intitul Secure Software Development Education 2024 Survey : Understanding Current Needs . Base sur une enqute mene auprs de prs de 400 professionnels du dveloppement de logiciels, l’analyse explore l’tat actuel du dveloppement de logiciels scuriss et souligne le besoin urgent de programmes formaliss d’ducation et de formation pour l’industrie.
Les attaquants dcouvrent et exploitent rgulirement les vulnrabilits des logiciels, ce qui souligne l’importance croissante d’une scurit logicielle solide. Malgr cela, de nombreux dveloppeurs n’ont pas les connaissances et les comptences essentielles pour mettre en uvre efficacement le dveloppement de logiciels scuriss. Les rsultats de l’enqute prsents dans le rapport montrent que prs d’un tiers de tous les professionnels directement impliqus dans le dveloppement et le dploiement – oprations systme, dveloppeurs logiciels, responsables de la validation et de la maintenance – dclarent ne pas tre familiariss avec les pratiques de dveloppement scuris des logiciels. Cette situation est d’autant plus proccupante que ce sont eux qui sont en premire ligne pour crer et maintenir le code qui fait fonctionner les applications et les systmes d’une entreprise.
maintes reprises, nous avons vu l’exploitation de vulnrabilits logicielles conduire des consquences catastrophiques, soulignant le besoin critique pour les dveloppeurs tous les niveaux d’tre arms de connaissances et de comptences adquates pour crire du code scuris , a dclar David A. Wheeler, directeur de la scurit de la chane d’approvisionnement open source pour la Fondation Linux. Notre tude a rvl que l’un des principaux dfis est le manque d’ducation en matire de dveloppement de logiciels scuriss. Les praticiens ne savent pas par o commencer et apprennent au fur et mesure. Il est clair qu’un effort l’chelle de l’industrie pour mettre au premier plan l’ducation au dveloppement scuris doit tre une priorit .
Les rsultats de l’enqute indiquent que le manque de sensibilisation la scurit est probablement d au fait que la plupart des programmes ducatifs actuels donnent la priorit la fonctionnalit et l’efficacit, tout en ngligeant souvent la formation essentielle la scurit. En outre, la plupart des professionnels (69 %) s’appuient sur l’exprience professionnelle comme principale ressource d’apprentissage, alors qu’il faut au moins cinq ans d’exprience pour atteindre un niveau minimum de connaissance en matire de scurit.
D’autres rsultats cls de l’enqute sont les suivants :
- Le manque de temps (58 %) et le manque de sensibilisation et de formation (50 %) sont les deux principaux obstacles la mise en uvre de pratiques de dveloppement de logiciels scuriss au sein des entreprises.
- La principale raison (44 %) de ne pas suivre de cours sur le dveloppement de logiciels scuriss est la mconnaissance d’un bon cours sur le sujet.
- Les mthodes d’apprentissage autonome sont les plus rpandues, 74 % des personnes interroges dclarant utiliser des ressources telles que des tutoriels en ligne, des vidos et des livres comme principale mthode d’apprentissage.
- Les proccupations mergentes en matire de scurit, telles que l’IA (57 %) et la chane d’approvisionnement (56 %), sont considres comme des domaines futurs critiques pour l’innovation et l’attention.
La premire tape pour aborder le dveloppement de logiciels scuriss est de reconnatre le manque de connaissances existant et d’identifier les domaines prioritaires pour crer une formation supplmentaire , a dclar Christopher « CRob » Robinson, Intel, co-prsident de l’OpenSSF Education Special Interest Group (SIG) et prsident de l’OpenSSF Technical Advisory Council (TAC). Sur la base de ces rsultats, l’OpenSSF va crer un nouveau cours sur l’architecture de scurit qui sera disponible dans le courant de l’anne et qui contribuera promouvoir une approche de scurit par la conception dans la formation des dveloppeurs logiciels.
Source : La Fondation Linux
Et vous ?
Quel est votre avis sur le sujet ?
Trouvez-vous les conclusions de cette tude de la Fondation Linux crdibles ou pertinentes ?
Voir aussi :