Une nouvelle tude de Rezilion rvle un niveau lev d’inexactitudes et de perturbations cres par les technologies d’analyse commerciales et open-source les plus populaires du march.
Les chercheurs ont examin 20 conteneurs populaires sur DockerHub, les ont excuts localement et les ont analyss l’aide de six scanners de vulnrabilit diffrents et populaires sur le march commercial et open-source. En tenant compte des faux ngatifs, les scanners n’ont renvoy que 73 % de rsultats pertinents sur l’ensemble des vulnrabilits qui auraient d tre identifies, y compris celles que les scanners n’ont pas dtectes.
« Chaque jour, une multitude de nouvelles vulnrabilits sont divulgues dans l’cosystme logiciel, ce qui pousse les utilisateurs finaux se fier aux scanners de vulnrabilits pour dtecter si ces vulnrabilits potentiellement exploitables existent dans leur environnement« , explique Yotam Perkal, directeur de la recherche sur les vulnrabilits chez Rezilion. « Avec une variabilit avre de la prcision des outils d’analyse sur le march, les entreprises paient le cot du temps pass trier des vulnrabilits non pertinentes et pire, dans le cas de dtections faussement ngatives, crent des angles morts pour l’organisation et un faux sentiment de scurit. »
En moyenne, sur le nombre total de vulnrabilits signales par les scanners, seuls 82 % taient des rsultats pertinents (identifis correctement), indpendamment des vulnrabilits que les scanners n’ont pas signales (18 % taient des faux positifs). Plus de 450 vulnrabilits de gravit leve ou critique ont t mal identifies dans les 20 conteneurs. Et en moyenne, sur les 20 conteneurs examins, les scanners n’ont pas trouv (rsultat faux ngatif) plus de 16 vulnrabilits par conteneur.
« Le problme principal est que les donnes sur les performances des scanners ne sont pas transparentes et que les utilisateurs finaux n’ont pas la visibilit ncessaire pour valuer avec prcision l’efficacit des scanners de vulnrabilit« , poursuit Perkal. » Avec cette recherche, nous nous engageons faire avancer l’industrie et aborder le problme de manire proactive « . L’objectif ultime de Rezilion est de fournir une transparence sur les performances des scanners et d’amliorer la qualit de l’analyse des vulnrabilits tous les niveaux. »
la lumire de ces rsultats, il est important que les entreprises comprennent les capacits et les limites de leur scanner spcifique, et qu’elles ne se fient pas aveuglment aux rsultats. Elles devraient galement vrifier l’exactitude des rsultats de leur scanner par rapport une nomenclature logicielle afin d’obtenir une meilleure visibilit des dpendances logicielles.
Source : Rezilion
Et vous ?
Trouvez-vous ces rsultats pertinents ?
Votre entreprise a-t-elle dj fait l’exprience de rsultats non pertinents des scanners de vulnrabilits ?
Voir aussi :