Selon le rapport "State of DevSecOps 2024" de Datadog spécialisé dans la surveillance des services et applications cloud, les services Java sont les plus touchés par les vulnérabilités tierces. Publié ce 17 avril, l'étude révèle que 90 % d'entre eux sont en effet susceptibles de présenter une ou plusieurs failles critiques ou de sévérité élevée introduites par une bibliothèque tierce. La moyenne pour les autres langages est de 47 %. L'éditeur a analysé des dizaines de milliers d'applications et d'images de conteneurs et des milliers d'environnements en nuage pour évaluer la sécurité des applications. Après Java dans l'évaluation des vulnérabilités, on trouve JavaScript, avec environ 70 %, Python, avec 62 %, .NET, avec 50 %, PHP, avec 35 %, et Go (golang) et Ruby, tous deux avec environ 32 %.
Les services Java sont également les plus susceptibles d'être visés par des exploits documentés ayant servi aux attaquants. D'après une liste de failles tenue par l'agence américaine de cybersécurité et de sécurité des infrastructures (CISA), 55 % des services Java étaient touchés, contre 7 % des services conçus à l'aide d'autres langages.
Des violations de pipelines CI/CD à cause d'identifiants pas assez changés
Parmi les autres indicateurs, il ressort notamment que 63 % des entreprises continuent de s'appuyer sur des identifiants rarement changés constituant l'une des causes les plus courantes de violations de données dans les pipelines CI/CD. On note également que l'adoption de l'infrastructure as code est élevée ou encore que les images de conteneurs plus petites entraînent moins de trous de sécurité.
Pour Datadog, les pratiques modernes de DevOps vont de pair avec des mesures de sécurité solides et la sécurité elle-même contribue à l'excellence opérationnelle des entreprises. Mais celle-ci n'est réaliste que lorsque les personnes qui en sont chargées bénéficient d'un contexte et de priorités suffisants pour se concentrer sur ce qui est prioritaire.
Commentaire