IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Alors que 80 % des entreprises utilisent des logiciels open source (OSS), chiffre qui devrait atteindre 99 % l'année prochaine, seulement 1 % d'entre elles déclare ne pas s'inquiéter de la sécurité

Le , par Sandra Coret

7PARTAGES

13  0 
Le rapport de Synopsys, basé sur des recherches menées par Enterprise Strategy Group (ESG), montre qu'en réponse à des attaques très médiatisées de la chaîne d'approvisionnement, 73 % des personnes interrogées déclarent avoir augmenté de manière significative leurs efforts pour sécuriser la chaîne d'approvisionnement en logiciels de leur organisation.

Les mesures prises comprennent l'adoption d'une forme de technologie d'authentification multifactorielle (33 %), l'investissement dans des contrôles de tests de sécurité des applications (32 %) et l'amélioration de la découverte des actifs pour mettre à jour l'inventaire de la surface d'attaque de leur organisation (30 %). Malgré ces efforts, 34 % des entreprises indiquent que leurs applications ont été exploitées en raison d'une vulnérabilité connue dans un logiciel open source au cours des 12 derniers mois, et 28 % ont été victimes d'une exploitation de type "zero-day" inconnue jusqu'alors dans un logiciel open source.

La pression exercée pour améliorer la gestion des risques de la chaîne logistique logicielle a mis en lumière les nomenclatures logicielles (SBOM). Mais l'explosion de l'utilisation des logiciels libres et le manque de rigueur de la gestion des logiciels libres ont rendu la compilation des SBOM complexe - l'étude de l'ESG montre que 39 % des personnes interrogées ont indiqué que cette tâche était un défi pour l'utilisation des logiciels libres.

"Les entreprises constatent l'impact potentiel d'une vulnérabilité ou d'une violation de la sécurité de la chaîne d'approvisionnement logicielle sur leurs activités en faisant la une des journaux. La priorité accordée à une stratégie de sécurité proactive est désormais un impératif fondamental pour les entreprises", déclare Jason Schmitt, directeur général du Software Integrity Group de Synopsys. "Si la gestion du risque lié aux logiciels open source est un élément essentiel de la gestion du risque de la chaîne d'approvisionnement logicielle dans les applications natives du cloud, nous devons également reconnaître que le risque s'étend au-delà des composants open source. L'infrastructure en tant que code, les conteneurs, les API, les dépôts de code - la liste est longue et doit être prise en compte pour garantir une approche holistique de la sécurité de la chaîne logistique logicielle."


Les résultats suggèrent également que, bien que la sécurité axée sur les développeurs et le "glissement vers la gauche" - un concept visant à permettre aux développeurs d'effectuer des tests de sécurité plus tôt dans le cycle de vie du développement - se développe parmi les entreprises qui créent des applications "cloud-natives", 97 % d'entre elles ont connu un incident de sécurité impliquant leurs applications "cloud-natives" au cours des 12 derniers mois.

L'accélération des cycles de publication pose également des problèmes de sécurité. Les équipes de développement d'applications (41 %) et DevOps (45 %) s'accordent à dire que les développeurs ignorent souvent les processus de sécurité établis, tandis qu'une majorité de développeurs d'applications (55 %) s'accordent à dire que les équipes de sécurité manquent de visibilité dans les processus de développement.

Source : Synopsys

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

73% des organisations ont considérablement augmenté leurs efforts en matière de sécurité de la chaîne logistique logicielle, suite aux évènements Log4Shell, SolarWinds et Kaseya, selon Synopsys

Synopsys présente Code Sight Standard Edition pour permettre le développement sécurisé de logiciels, en détectant les vulnérabilités de sécurité dans le code source et les dépendances open source

L'adoption des DevSecOps se poursuit dans le monde entier malgré les problèmes de sécurité, d'après une étude menée conjointement par Synospys, centre de recherche sur la cybersécurité, et Censuswide

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de becket
Expert confirmé https://www.developpez.com
Le 17/08/2022 à 1:58
Citation Envoyé par marsupial Voir le message
Edifiant état des lieux. Les OSS ne dépendent pas d'un éditeur et disposent souvent d'une licence ne garantissant pas leur utilisation donc la sécurité. A chaque entreprise de mener un audit sur les briques logicielles utilisées.
Comme si la licence était un élément protecteur ...
2  0 
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 19/08/2022 à 10:56
Bonjour,

Quel est le rapport entre le fait d'utiliser des logiciels open-source et le fait de se préoccuper de la sécurité ?

Microsoft est connu pour avoir laissé traîner des failles pendant des années (littéralement), Oracle publie un patch tous les 3 mois quoi qu'il arrive (les exceptions sont vraiment très très rares), et pourtant il s'agit d'éditeurs de logiciels propriétaires...
0  0 
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 16/08/2022 à 18:18
Qu'en pensez-vous ?
Edifiant état des lieux. Les OSS ne dépendent pas d'un éditeur et disposent souvent d'une licence ne garantissant pas leur utilisation donc la sécurité. A chaque entreprise de mener un audit sur les briques logicielles utilisées.
1  2