Un nouveau sondage ralis auprs de plus de 500 dcideurs et dveloppeurs en matire de scurit rvle un dcalage, voire une certaine mfiance, entre les RSSI et les dveloppeurs en ce qui concerne le degr de sensibilisation la scurit de chaque service au sein de l’organisation et le rle de chacun.
Le sondage Harris ralis pour Chainguard rvle qu’une majorit de dveloppeurs et de RSSI considrent la scurit de la chane logistique logicielle comme une priorit absolue dans leur rle (70 % et 52 % respectivement). Mais la confusion rgne quant la responsabilit de la prvention et de l’attnuation des problmes de scurit, au degr de comprhension des outils quotidiens des dveloppeurs par les RSSI et au degr de comprhension par les dveloppeurs des risques associs certains aspects de leur travail et aux outils qu’ils utilisent.
« Trouver un alignement entre les dveloppeurs et les responsables de la scurit sur la scurit de la chane d’approvisionnement des logiciels est un dfi difficile relever, mme pour les organisations les mieux dotes en ressources et en personnel« , dclare Kim Lewandowski, cofondateur et directeur des produits chez Chainguard. « Les conclusions du rapport refltent la tension qui rgne dans le paysage de la scurit, car les organisations rflchissent la manire de maintenir la vlocit des dveloppeurs et les avantages de la technologie open source, tout en comblant les lacunes d’une nouvelle catgorie de vulnrabilits que les chanes d’approvisionnement en logiciels ont accumules« .
Parmi les rsultats, seuls 43 % des dveloppeurs pensent que les RSSI sont « trs familiers » avec la faon dont les images de conteneurs s’intgrent dans leur travail, ce qui est faible par rapport d’autres aspects de la faon dont les dveloppeurs peroivent leur quipe de scurit pour comprendre leur travail. Il s’agit notamment des bibliothques et projets de logiciels libres (61 %), des rfrentiels de code source et des systmes de gestion du code source (60 %), ainsi que des outils de cration de logiciels (59 %).
Un pourcentage important de dveloppeurs et de RSSI font tat d’une lassitude l’gard des faux positifs de l’analyse de vulnrabilit. 36 % des RSSI et 34 % des dveloppeurs dclarent qu’un nombre crasant d’alertes de vulnrabilit faussement positives est l’un des plus grands obstacles auxquels leur organisation est confronte pour assurer la scurit de la chane d’approvisionnement en logiciels. Les deux groupes citent galement la consommation de logiciels vulnrables et le manque de cohsion entre les RSSI et les dveloppeurs comme les principaux obstacles la scurit de la chane d’approvisionnement en logiciels.
En outre, 77 % des RSSI et 68 % des dveloppeurs reconnaissent que la ncessit de donner la priorit la scurit provoque des tensions entre leurs quipes. Le rapport rvle que les dveloppeurs ne veulent pas que leur productivit quotidienne soit affecte par les outils ou les exigences de scurit, 43 % d’entre eux tant tout fait d’accord pour dire que les pratiques de scurit de la chane logistique logicielle ne devraient pas rendre leur travail plus difficile.
Source : Chainguard
Et vous ?
Pensez-vous que cette tude est crdible ou pertinente ?
Quel est votre avis sur le sujet ?
Voir aussi :