Technologies

Les failles logicielles laissées béantes six mois

Les failles logicielles laissées béantes six mois
Détecter une faille dans un logiciel, c’est bien. La corriger, c’est mieux.

Selon une étude de Veracode, la moitié des failles repérées dans les logiciels ne sont pas corrigées six mois plus tard.

PublicitéSi chacun sait bien qu'il y a de nombreuses failles dans les logiciels que nous utilisons chaque jour, mettre des chiffres sur le phénomène peut rapidement faire peur. Ainsi, l'étude Veracode met en avant que 76% des applications présentent au moins une faille de sécurité, même si seulement 24% présentent des failles graves mettant en péril la sécurité du SI. Si l'ouverture du code des logiciels open-source permet normalement de repérer plus aisément des failles, la récupération de bibliothèques d'origines diverses sans précautions, à l'inverse, est une source importante de failles. Au final, selon Veracode, 70 % des applications open-source héritent d'au moins une faille à partir des bibliothèques intégrées. 30 % ont plus de failles dans ces bibliothèques externes que dans le code ajouté en interne. Veracode en déduit qu'il est impératif de procéder à une analyse globale du code utilisé, pas seulement des développements internes.

Au bout du compte, 50 % des failles restent béantes six mois après la détection. Pourtant, quelques bonnes pratiques peuvent réduire considérablement les risques. Ainsi, une analyse fréquente peut réduire de plus de trois semaines le temps nécessaire pour corriger la moitié des failles observées. L'approche DevSecOps et la combinaison des différents types d'analyses (analyse statique (SAST), analyse dynamique (DAST) et analyse de la composition du logiciel (SCA)) améliorent les taux de correction. Un gain de 24 jours est constaté sur les logiciels ont sont simultanément employées les approches SAST et DAST. L'automatisation permet, elle, de gagner 17,5 jours. A l'inverse, les applications les plus anciennes (de type Legacy) ont un délai de correction moyen de la moitié des défauts supérieur de 63 jours.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Les environnements de sauvegarde sont-ils isolés du reste des infrastructures, pour réduire les risques de ransomwares ?