Le dernier rapport SOSS de Veracode sur la sécurité des logiciels met en évidence les faiblesses de la chaîne de correction des failles logicielles. Son analyse porte sur 130 000 applications.
Le 11ème rapport SOSS confirme que les failles de sécurité venant de logiciels open source sont de plus en plus nombreuses. (Crédit : Pixabay/PixelCreatures)
Selon le 11ème rapport State of Software Security de Veracode sur l’état de sécurité sur les logiciels, 76% des applications contient au moins une faille de sécurité, 24% d’entre elles étant jugées graves. La correction de ces vulnérabilités prend en général plusieurs mois. L’analyse, qui a porté sur 130 000 applications, montre que la moitié d’entre elles sont toujours ouvertes six mois après leur identification.
Autre constat, déjà identifié, les failles de sécurité venant de logiciels open source sont de plus en plus nombreuses. Ainsi 70% des applications ont au moins une faille qui vient d’une bibliothèque open source utilisée et pour 30% des applications, la provenance de failles issues de logiciels open source est supérieure à celles provenant du code écrit en interne. Un exemple, 97% d’une application Java typique est composée de bibliothèques open source.
Le rapport de Veracode démontre aussi l’efficacité de l’approche DevSecOps puisque les équipes qui combinent l’analyse statique et l’analyse dynamique corrigent la moitié des défauts 24 jours plus rapidement.