L’importance de la mise en œuvre de l’analyse de sécurité dans le cycle de vie du développement logiciel – Help Net Security

Veracode a publié une recherche qui révèle que la plupart des applications sont désormais analysées environ trois fois par semaine, contre seulement deux ou trois fois par an il y a dix ans. Cela représente une augmentation de 20 fois de la cadence de balayage moyenne entre 2010 et 2021.

la plupart des applications analysées

La fréquence d’analyse a également augmenté de manière spectaculaire, les développeurs testant désormais plus de 17 nouvelles applications par trimestre, soit plus du triple du nombre d’applications analysées au cours de la même période il y a dix ans. La recherche, qui a analysé plus d’un demi-million d’applications, révèle de nouvelles données provenant d’un échantillon représentatif de grandes et moyennes entreprises, de fournisseurs de logiciels commerciaux et de projets open source.

Avec des études montrant qu’il y a maintenant 4,66 milliards d’internautes actifs dans le monde, le monde est plus connecté que jamais. Il ne suffit plus d’analyser les logiciels en tant qu’étape de pré-production dans la dernière phase du cycle de vie du développement logiciel. Tout comme les logiciels sont désormais déployés en continu, l’analyse à l’aide de divers outils de test doit également être effectuée en continu en tant que partie entièrement intégrée du processus, a déclaré Chris Wysopal, CTO chez Veracode.

Les entreprises utilisant plusieurs types d’analyse corrigent les failles plus rapidement

Les tests de sécurité continus utilisant plusieurs types d’analyse deviennent rapidement la norme, car les organisations reconnaissent la nécessité d’analyser le logiciel qu’elles créent à travers plusieurs dimensions.

Plus que jamais, les entreprises utilisent une combinaison de types d’analyse pour sécuriser leurs logiciels, avec une augmentation de 31 % de l’utilisation combinée de l’analyse statique, dynamique et de la composition logicielle de 2018 à 2021.

La tendance se poursuit depuis le rapport de l’année dernière sur l’état de la sécurité des logiciels v11, qui a révélé que les entreprises utilisant l’analyse dynamique en plus de l’analyse statique corrigeaient les défauts 24 jours plus rapidement, et y compris l’analyse de la composition logicielle, gagnaient six jours supplémentaires.

Le temps est une monnaie compétitive pour les équipes de développement de logiciels

Le besoin de rapidité a poussé les équipes de développement de logiciels à adopter des méthodologies agiles et des outils d’automatisation des processus, ainsi que des technologies cloud natives, des logiciels open source et des microservices. Bien que ces tendances aient accéléré le développement de logiciels, elles ont également introduit de nouvelles complexités et de nouveaux risques.

La profusion d’applications plus modulaires, en particulier au cours des deux dernières années, a entraîné une forte augmentation du nombre d’applications analysées, a déclaré Chris Eng, directeur de la recherche chez Veracode. En 2018, environ 20 % des applications comprenaient plusieurs langues, mais cela a chuté à 5 %. Cela suggère un pivot vers la création d’applications plus petites qui exécutent une seule tâche, ce qui est cohérent avec la popularité croissante des microservices.

Les organisations récoltent les fruits de la formation à la sécurité des développeurs

En plus des améliorations de la cadence d’analyse et de la capacité de correction, les recherches de Veracodes ont révélé l’impact positif de la formation interactive à la sécurité. Les entreprises dont les développeurs avaient suivi au moins une leçon dans un programme de formation utilisant des applications réelles ont corrigé les failles 35 % plus rapidement que les organisations sans une telle formation.

Avec si peu de programmes d’informatique enseignant la sécurité des logiciels à l’université, la puissance de la formation avec des applications réelles et vulnérables dans un environnement sûr et guidé ne peut être sous-estimée. Nos données démontrent que ceux qui participent aux laboratoires de formation peuvent avoir une longueur d’avance lorsqu’il s’agit de comprendre l’origine des défauts et de les corriger rapidement, a déclaré Eng.

www.actusduweb.com
Suivez Actusduweb sur Google News


Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepteLire la suite