L'enquête menée auprès de 1500 professionnels de l'informatique par le centre de recherche sur la cybersécurité Synopsys (CyRC) et Censuswide montre également que 33 % d'entre eux disposent de DevSecOps à un stade de maturité ou largement déployé dans leur entreprise.
Lors de l'adoption de composants open source, la sécurité et la vulnérabilité d'un composant à exploiter sont en tête de liste pour 50 % des répondants, et sont cités comme le premier critère de sélection lors de l'approbation d'un nouveau composant open source.
Un peu plus de la moitié (51 %) déclarent qu'il faut deux à trois semaines à leur organisation pour appliquer un correctif open source, 24 % d'entre eux déclarant que cela peut prendre jusqu'à un mois, même si le correctif traite d'un problème critique.
Aux États-Unis, 52 % des organisations interrogées ont également vu leur calendrier de livraison de logiciels modifié au cours de l'année écoulée afin d'appliquer un correctif open source critique, contre 40 % au niveau mondial. Il est intéressant de noter que 46 % des personnes interrogées notent que la couverture médiatique des problèmes liés à l'open source affecte la manière dont leur organisation gère les risques liés à l'open source.
"Il est clair que les vulnérabilités non corrigées sont une source majeure de problèmes pour les développeurs et, en fin de compte, de risques pour l'entreprise", déclare Tim Mackey, stratège principal en matière de sécurité au Centre de recherche sur la cybersécurité Synopsys. "Le rapport "DevSecOps Practices and Open Source Management in 2020" met en évidence la manière dont les organisations s'efforcent de suivre et de gérer efficacement leurs risques liés aux logiciels libres.
Il y a également peu de consensus sur les outils de sécurité. Même l'outil ayant le taux d'adoption le plus élevé (pare-feu d'application web) n'est encore utilisé que par moins de la moitié des répondants. Seuls 38 % des organisations interrogées utilisent les outils d'analyse de la composition des logiciels (ACS). Alors que 47 % des organisations interrogées déclarent définir des normes autour de l'âge des composants open source qu'elles utilisent.
"Plus de la moitié – 51 % – disent qu'il leur faut deux à trois semaines pour appliquer un correctif open source", poursuit M. Mackey. "Cela est probablement lié au fait que seulement 38 % utilisent un outil d'analyse automatique de la composition des logiciels (SCA) pour identifier quels composants open source sont utilisés et quand les mises à jour sont publiées. Les autres organisations utilisent probablement des processus manuels pour gérer l'open source – des processus qui peuvent ralentir les équipes de développement et d'exploitation, les obligeant à rattraper leur retard en matière de sécurité dans un climat où, en moyenne, des dizaines de nouvelles divulgations de sécurité sont publiées chaque jour".
Source : Synopsys
Et vous ?
Qu'en pensez-vous ?