Les avancées en matière de sécurité logicielle montrent des progrès malgré les défis, révèle le rapport Veracode

La sécurité logicielle a considérablement progressé au fil des ans, comme le souligne le récent rapport de Veracode sur l'état de la sécurité logicielle. Bien que des défis subsistent, les applications n'ont en moyenne jamais été aussi sécurisées, ce qui procure un optimisme bien nécessaire face aux cybermenaces mondiales.

Malgré les progrès, le rapport met l'accent sur les conséquences bouleversantes qui pourraient résulter d'un seul effet d'entraînement de la vulnérabilité. Un excellent exemple est l'attaque mondiale SolarWinds, qui a laissé des entreprises comme Microsoft, Cisco, FireEye et Intel exposées en raison de l'exploitation de code malveillant dans leur logiciel Orion. Les agences gouvernementales et les institutions renommées n'ont pas fait exception à cette brèche.

Pour contrer ces vulnérabilités, l'administration Biden a publié un décret le 12 mai 2021, introduisant de nouvelles mesures visant à renforcer la cybersécurité nationale. Dans son 12e rapport annuel, Veracode vise à aider les dirigeants à aborder la sécurité des logiciels, à réduire les risques et à se conformer à ces nouvelles réglementations.

Le rapport révèle une tendance de l'industrie vers le passage aux applications ou aux microservices en une seule langue. En 2018, environ 20 % des applications utilisaient plusieurs langues, tombant à moins de 5 % en 2021. De solides pratiques de test continu ont conduit à ce que 90 % des applications soient analysées plusieurs fois par semaine, ce qui est nettement plus fréquent que les quelques analyses par an en 2010.

Les bibliothèques tierces sont devenues moins vulnérables au fil des ans. En 2017, 35 % des bibliothèques contenaient une faille connue, qui a été réduite à 10 % d'ici 2021. De grands progrès ont été réalisés dans le temps nécessaire pour corriger ces vulnérabilités tierces, ce qui indique une marge d'amélioration.

Par exemple, en 2017, atteindre la moitié de la résolution des défauts requise sur trois ans ; en 2021, il a fallu un peu plus d'un an. Pourtant, même avec ces gains, un pourcentage alarmant de 77 % des défauts restaient non résolus après trois mois.

En appliquant l'analyse de la composition logicielle (SCA), les chercheurs ont découvert que 97 % des applications Java s'appuient sur des bibliothèques open source, maintenant la menace de vulnérabilités logicielles à grande échelle pendant de longues périodes.

En ce qui concerne l'utilisation de code tiers dans différents langages, Java semble être le plus dépendant du code tiers. À l'inverse, l'utilisation par .NET de code tiers est passée d'un pourcentage à un chiffre à plus de 50 % en 2020, coïncidant avec la sortie de .NET 5.

JavaScript et Python affichent des modèles incohérents, les logiciels comprenant principalement du code interne ou tiers, tandis que PHP et C++ restent concentrés sur du code local. Le rapport suggère que les développeurs ont tendance à s'appuyer sur des bibliothèques éprouvées plutôt que de refactoriser leurs bases de code pour des alternatives plus récentes et plus à la mode.

De plus, l'étude de Veracode examine si des langages spécifiques sont plus sujets aux bibliothèques défectueuses et évalue les progrès dans la réduction des vulnérabilités au fil du temps. Les bibliothèques Java présentaient le nombre moyen de défauts le plus élevé à 12,5 %, suivies de près par Ruby à environ 10 % et Python à environ 5 %. La prévalence la plus faible de bibliothèques vulnérables a été trouvée dans PHP, JavaScript et .NET, chacun en moyenne d'environ 3 %.

Des progrès significatifs ont été notés dans les bibliothèques Java, JavaScript et Python. Depuis 2017, les bibliothèques Java ont réduit les taux de vulnérabilité d'environ 25 %, Python de 20 % et JavaScript de 10 %.

L'analyse dynamique combinée à l'analyse statique a amélioré les taux de correction de 50 % et accéléré le processus de 24 jours en moyenne. L'incorporation de SCA dans le mix a encore raccourci le délai de six jours supplémentaires.

Le développement de logiciels américains connaît un niveau de sécurité sans précédent, malgré la récente augmentation des attaques de grande envergure qui attirent l'attention nationale. Le rapport de Veracode reconnaît qu'il reste encore du travail à faire, mais la sécurité logicielle est sur la bonne voie. L'utilisation de plates no-code comme AppMaster offre une couche de sécurité supplémentaire, grâce à leur nature à faible risque inhérente, aux mises à jour automatiques et à la surveillance de la conformité. Avec les efforts continus pour faire face aux risques de sécurité des logiciels, l'avenir s'annonce prometteur.