Au cours de leur première année d’existence, un tiers des applications (32 %) comportent des failles de sécurité, et à l’âge de cinq ans, ce nombre passe à plus des deux tiers (70 %), selon une nouvelle étude.
Un nouveau rapport de Veracode a révélé que les entreprises doivent rechercher les défauts tôt, souvent et de différentes manières, afin de minimiser les risques de problèmes graves sur la route.
La société a analysé plus de trois quarts de million d’applications auprès de fournisseurs de logiciels commerciaux, de sous-traitants de logiciels et de projets open source, constatant qu’après l’introduction initiale de failles, les applications entrent généralement dans une « période de lune de miel » de stabilité – près de 80% n’introduisez pas de nouveaux défauts pendant la première année et demie.
Des erreurs coûteuses
Après cela, certains développeurs recommencent à être bâclés, le nombre de nouvelles failles introduites dans le code grimpant à environ 35 % après cinq ans.
Ignorer de traiter les failles de sécurité tôt pourrait entraîner des coûts énormes sur la route, dit Veracode, citant des rapports récents qui affirment qu’une violation de données moyenne coûte désormais 4,35 millions de dollars.
Au lieu de cela, les développeurs doivent faire un certain nombre de choses pour réduire la probabilité d’introduction de défauts, y compris la formation des développeurs et l’utilisation de plusieurs types d’analyse – analyse via API incluse.
La fréquence des analyses est également un facteur important, a ajouté la société. En outre, ils doivent s’attaquer à la dette technique et de sécurité le plus tôt et le plus rapidement possible, donner la priorité à la formation à l’automatisation et à la sécurité des développeurs, et établir un protocole de gestion du cycle de vie des applications qui intègre la gestion du changement, l’allocation des ressources et les contrôles organisationnels.
« L’utilisation d’une solution d’analyse de la composition logicielle (SCA) qui exploite plusieurs sources de failles, au-delà de la base de données nationale des vulnérabilités, avertira à l’avance les équipes une fois qu’une vulnérabilité est révélée et leur permettra de mettre en œuvre des protections plus rapidement, espérons-le avant le début de l’exploitation », a déclaré Chris Eng, directeur de la recherche chez Veracode.
« Il est également recommandé de définir des politiques organisationnelles autour de la détection et de la gestion des vulnérabilités, ainsi que d’envisager des moyens de réduire les dépendances à des tiers. »