Synopsys a révélé une nouvelle recherche basée sur une enquête récente auprès de 350 décideurs en matière de développement d'applications, de technologies de l'information et de cybersécurité. L'étude, menée par Enterprise Strategy Group (ESG) et commandée en partie par le Synopsys Software Integrity Group, a été mise en évidence dans le cadre de l'étude "", montre que le risque de la chaîne d'approvisionnement logicielle s'étend au-delà de l'open source.En réponse aux attaques de la chaîne logistique logicielle telles que Log4Shell, SolarWinds et Kaseya, 73 % des personnes interrogées déclarent avoir augmenté de manière significative leurs efforts pour sécuriser la chaîne logistique logicielle de leur entreprise par le biais de diverses initiatives de sécurité. Ces initiatives comprennent l'adoption d'une forme de technologie d'authentification multifactorielle forte (33 %), l'investissement dans des contrôles de tests de sécurité des applications (32 %) et l'amélioration de la découverte des actifs pour mettre à jour l'inventaire de la surface d'attaque de leur organisation (30 %).Malgré ces efforts, 34 % des entreprises déclarent que leurs applications ont été exploitées en raison d'une vulnérabilité connue dans un logiciel open source (OSS) au cours des 12 derniers mois, 28 % d'entre elles ayant été victimes d'un exploit inconnu ("zero-day") découvert dans un logiciel open source.À mesure que l'utilisation des logiciels open source s'intensifie, leur présence dans les applications va naturellement augmenter aussi. La pression actuelle pour améliorer la gestion des risques de la chaîne logistique logicielle a mis l'accent sur les nomenclatures logicielles (SBOM). Mais l'explosion de l'utilisation des logiciels libres et le manque de rigueur de la gestion des logiciels libres ont rendu la compilation des nomenclatures complexes, comme le confirme l'étude de l'ESG, qui montre que 39 % des personnes interrogées ont indiqué que cette tâche constituait un défi pour l'utilisation des logiciels libres.", a déclaré Jason Schmitt, directeur général de Synopsys Software Integrity Group. "."Si les logiciels open source sont à l'origine du problème de la chaîne d'approvisionnement, l'évolution vers le développement d'applications natives dans le cloud fait que les entreprises s'inquiètent des risques posés à d'autres nœuds de leur chaîne d'approvisionnement. Il s'agit non seulement d'aspects supplémentaires du code source, mais aussi de la manière dont les applications natives du cloud sont stockées, conditionnées et déployées, ainsi que de la manière dont elles s'interfacent entre elles par le biais d'interfaces de programmation d'applications (API). Près de la moitié (45 %) des répondants à l'enquête ont identifié les API comme le vecteur le plus susceptible d'être attaqué, avec les référentiels de stockage de données (42 %) et les images de conteneurs d'applications (34 %).La quasi-totalité (99 %) des personnes interrogées ont déclaré que leur organisation utilise actuellement des logiciels libres ou prévoit de le faire dans les 12 prochains mois. Si la maintenance, la sécurité et la fiabilité de ces projets open source suscitent des inquiétudes, la principale préoccupation concerne l'ampleur de l'utilisation de l'open source dans le développement des applications. 54 % des entreprises indiquent que leur principale préoccupation est "".", a déclaré Tim Mackey, principal stratège en matière de sécurité au sein du Synopsys Cybersecurity Research Center. "."Les résultats de l'enquête suggèrent également que, bien que la sécurité axée sur les développeurs et le "déplacement vers la gauche" - un concept visant à permettre aux développeurs d'effectuer des tests de sécurité plus tôt dans le cycle de vie du développement - se développe parmi les organisations qui créent des applications natives du cloud, 97 % des organisations ont connu un incident de sécurité impliquant leurs applications natives du cloud au cours des 12 derniers mois.L'accélération des cycles de publication pose également des problèmes de sécurité à toutes les équipes. Les équipes de développement d'applications (41 %) et DevOps (45 %) s'accordent à dire que les développeurs ignorent souvent les processus de sécurité établis, tandis qu'une majorité de développeurs d'applications (55 %) s'accordent à dire que les équipes de sécurité manquent de visibilité sur les processus de développement. Soixante-huit pour cent des personnes interrogées ont indiqué qu'elles accordaient une priorité élevée à l'adoption de solutions de sécurité axées sur les développeurs et au transfert de certaines responsabilités en matière de sécurité aux développeurs, bien que les développeurs (45 %) soient actuellement plus nombreux à être responsables des tests de sécurité des applications que les équipes de sécurité (40 %). Ces développeurs sont deux fois plus susceptibles d'utiliser des outils de sécurité développés en interne ou open source que des solutions spécialisées de fournisseurs tiers.Dans le même temps, les développeurs jouent un rôle plus important dans la sécurisation de la chaîne logistique des applications natives du cloud, mais seulement 36 % des équipes de sécurité ont déclaré être à l'aise avec le fait que les équipes de développement prennent la responsabilité des tests. Des préoccupations telles que la surcharge des équipes de développement avec des outils et des responsabilités supplémentaires, la perturbation de l'innovation et de la vitesse, et l'obtention d'une supervision des efforts de sécurité restent les principaux obstacles aux efforts de sécurité des applications dirigés par les développeurs.Synopsys Software Integrity Group aide les équipes de développement à créer des logiciels sécurisés et de haute qualité, en minimisant les risques tout en maximisant la vitesse et la productivité. Synopsys fournit des solutions d'analyse statique, d'analyse de la composition des logiciels et d'analyse dynamique qui permettent aux équipes de trouver et de corriger rapidement les vulnérabilités et les défauts du code propriétaire, des composants open source et du comportement des applications.Source : Synopsys Qu'en pensez-vous ?