Le rapport de Synopsys, basé sur des recherches menées par Enterprise Strategy Group (ESG), montre qu'en réponse à des attaques très médiatisées de la chaîne d'approvisionnement, 73 % des personnes interrogées déclarent avoir augmenté de manière significative leurs efforts pour sécuriser la chaîne d'approvisionnement en logiciels de leur organisation.Les mesures prises comprennent l'adoption d'une forme de technologie d'authentification multifactorielle (33 %), l'investissement dans des contrôles de tests de sécurité des applications (32 %) et l'amélioration de la découverte des actifs pour mettre à jour l'inventaire de la surface d'attaque de leur organisation (30 %). Malgré ces efforts, 34 % des entreprises indiquent que leurs applications ont été exploitées en raison d'une vulnérabilité connue dans un logiciel open source au cours des 12 derniers mois, et 28 % ont été victimes d'une exploitation de type "zero-day" inconnue jusqu'alors dans un logiciel open source.
La pression exercée pour améliorer la gestion des risques de la chaîne logistique logicielle a mis en lumière les nomenclatures logicielles (SBOM). Mais l'explosion de l'utilisation des logiciels libres et le manque de rigueur de la gestion des logiciels libres ont rendu la compilation des SBOM complexe - l'étude de l'ESG montre que 39 % des personnes interrogées ont indiqué que cette tâche était un défi pour l'utilisation des logiciels libres.
"Les entreprises constatent l'impact potentiel d'une vulnérabilité ou d'une violation de la sécurité de la chaîne d'approvisionnement logicielle sur leurs activités en faisant la une des journaux. La priorité accordée à une stratégie de sécurité proactive est désormais un impératif fondamental pour les entreprises", déclare Jason Schmitt, directeur général du Software Integrity Group de Synopsys. "Si la gestion du risque lié aux logiciels open source est un élément essentiel de la gestion du risque de la chaîne d'approvisionnement logicielle dans les applications natives du cloud, nous devons également reconnaître que le risque s'étend au-delà des composants open source. L'infrastructure en tant que code, les conteneurs, les API, les dépôts de code - la liste est longue et doit être prise en compte pour garantir une approche holistique de la sécurité de la chaîne logistique logicielle."
Les résultats suggèrent également que, bien que la sécurité axée sur les développeurs et le "glissement vers la gauche" - un concept visant à permettre aux développeurs d'effectuer des tests de sécurité plus tôt dans le cycle de vie du développement - se développe parmi les entreprises qui créent des applications "cloud-natives", 97 % d'entre elles ont connu un incident de sécurité impliquant leurs applications "cloud-natives" au cours des 12 derniers mois.
L'accélération des cycles de publication pose également des problèmes de sécurité. Les équipes de développement d'applications (41 %) et DevOps (45 %) s'accordent à dire que les développeurs ignorent souvent les processus de sécurité établis, tandis qu'une majorité de développeurs d'applications (55 %) s'accordent à dire que les équipes de sécurité manquent de visibilité dans les processus de développement.
Source : Synopsys
Et vous ?
Qu'en pensez-vous ?Voir aussi :
73% des organisations ont considérablement augmenté leurs efforts en matière de sécurité de la chaîne logistique logicielle, suite aux évènements Log4Shell, SolarWinds et Kaseya, selon Synopsys Synopsys présente Code Sight Standard Edition pour permettre le développement sécurisé de logiciels, en détectant les vulnérabilités de sécurité dans le code source et les dépendances open source L'adoption des DevSecOps se poursuit dans le monde entier malgré les problèmes de sécurité, d'après une étude menée conjointement par Synospys, centre de recherche sur la cybersécurité, et Censuswide 
Envoyé par marsupial
