Le dixième volume de « State of Software Security » de Veracode a été publié. A travers ce rapport, le spécialiste du test de sécurité des applications montre l’état de l’art en matière de sécurisation du patrimoine applicatif des entreprises et son évolution sur 10 ans. Au total, 85 000 applications ont été scrutées et plus de la moitié comportent une « dette de sécurité », c’est-à-dire des vulnérabilités non réparées qui s’accumulent entre les différentes analyses des développeurs.
Le délai moyen pour colmater une faille a fortement progressé en passant de 59 jours à 171 jours. Les applications ayant au moins une faille non corrigée s’élèvent à 83%, soit une progression de 11% sur la décennie. A l’inverse, la criticité des vulnérabilités baisse en passant de 34% à 20% des applications touchées. Un point important selon Chrys Wysopal, fondateur et CTO de Veracode, « les développeurs sont de plus en plus à même de déterminer quelles failles doivent être corrigées en premier ».
Les Européens un peu en retard, l’Asie-Pacifique explose la « dette de sécurité »
Autre enseignement de l’étude, les zones géographiques ne sont pas au même niveau sur l’application des patchs de sécurité. Le rapport indique que la zone EMEA est la moins rapide à corriger les failles plus sévères, par rapport aux Etats-Unis et à la zone Asie-Pacifique. Cette dernière, en revanche, se démarque dans la « dette de sécurité » avec pas moins de 732 failles cumulées par application. Les zones EMEA et Amérique comptent respectivement 210 et 156 vulnérabilités cumulées par application.
Sur la typologie de failles, les années passent et les vulnérabilités restent sensiblement les mêmes. On retrouve de la saturation mémoire, des erreurs de chiffrement, la faiblesse des gestionnaires d’identité, la fuite de données, etc. Le rapport constate que certaines failles comme le débordement sont moins fréquentes car moins d’applications sont écrites en C ou C++. Veracode en profite pour prêcher pour sa paroisse en militant pour une analyse de code plus rigoureuse. Un outillage devenu incontournable à l’heure du DevOps et de son pendant sécuritaire, le DevSecOps.