IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les attaques de la chaîne d'approvisionnement des logiciels ont augmenté de plus de 300 % en 2021 par rapport à 2020
Dû à la faible sécurité dans les environnements de développement

Le , par Sandra Coret

9PARTAGES

5  0 
Les attaques de la chaîne d'approvisionnement des logiciels ont augmenté de plus de 300 % en 2021 par rapport à 2020, les attaquants se concentrant sur les vulnérabilités et les intoxications de l'open source, les problèmes d'intégrité du code et l'exploitation du processus de la chaîne d'approvisionnement des logiciels et de la confiance des fournisseurs pour distribuer des logiciels malveillants ou des portes dérobées.

Selon le rapport d'Argon Security, 2021 Software Supply Chain Security Review, la sécurité dans les environnements de développement de logiciels reste faible et, de manière significative, chaque entreprise évaluée présentait des vulnérabilités et des configurations erronées qui pouvaient l'exposer à des attaques de la chaîne d'approvisionnement.

" Le nombre d'attaques au cours de l'année écoulée et l'impact généralisé d'une seule attaque mettent en évidence le défi massif auquel sont confrontées les équipes chargées de la sécurité des applications ", déclare Eran Orzel, directeur principal du succès client et des ventes d'Argon. " Malheureusement, la plupart des équipes ne disposent pas des ressources, du budget et des connaissances nécessaires pour faire face aux attaques de la chaîne d'approvisionnement. Ajoutez à cela le fait que pour s'attaquer à ce vecteur d'attaque, les équipes AppSec ont besoin de la coopération des équipes de développement et DevOps, et vous comprendrez pourquoi ce défi est difficile à relever. "

Le code open source fait partie de presque tous les logiciels commerciaux et de nombreux paquets utilisés présentent des vulnérabilités existantes, le processus de mise à niveau vers une version plus sécurisée nécessitant des efforts de la part des équipes de développement et de DevOps.

Les attaquants peuvent profiter d'un accès privilégié, de mauvaises configurations et de vulnérabilités dans l'infrastructure du pipeline CI/CD (comme : le système de gestion du code source, l'agent de construction, les registres de paquets et les dépendances de services), qui donnent accès à l'infrastructure informatique critique, aux processus de développement, au code source et aux applications.


Le téléchargement de mauvais code vers les dépôts de code source a un impact direct sur la qualité de l'artefact et la posture de sécurité. Les problèmes courants ici comprennent les données sensibles dans le code, les problèmes de qualité et de sécurité du code, les problèmes d'infrastructure en tant que code, les vulnérabilités des images de conteneurs et les mauvaises configurations.

"Le processus de la chaîne d'approvisionnement des logiciels est un élément essentiel du cycle de vie du développement des applications modernes. Laisser ce large vecteur d'attaque ouvert, menace d'abaisser gravement la posture de sécurité des applications des entreprises, en exposant potentiellement des données sensibles et en créant des points d'entrée supplémentaires dans l'application en cours d'exécution", ajoute Orzel. "Dans de nombreux cas, les équipes de sécurité n'ont aucune visibilité sur ce processus jusqu'à ce qu'il soit trop tard, car la plupart des entreprises ne disposent pas de capacités préventives au sein des outils et processus CI/CD."

Source : Argon Security

Et vous ?

Trouvez-vous ce rapport pertinent ?
Votre entreprise met-elle à disposition des équipes les ressources nécessaires pour un environnement de développement sécurisé ?

Voir aussi :

Plus de 60 % des équipes DevOps sacrifient la sécurité des conteneurs au profit de la vitesse, selon un rapport de NeuVector

81 % des équipes de développement admettent avoir sciemment mis en ligne du code vulnérable, 20 % des cadres supérieurs reconnaissant même le faire souvent, selon un rapport d'Immersive Labs

Une erreur dans cette actualité ? Signalez-nous-la !