D'après un nouveau rapport de la Linux Foundation Research et de l'Open Source Security Foundation (OpenSSF), près d'un tiers des développeurs logiciels ne sont pas familiers avec les pratiques de développement de logiciels sécurisés.La Linux Foundation Research et l'Open Source Security Foundation ont publié un nouveau rapport intitulé « Secure Software Development Education 2024 Survey : Understanding Current Needs ». Basée sur une enquête menée auprès de près de 400 professionnels du développement de logiciels, l'analyse explore l'état actuel du développement de logiciels sécurisés et souligne le besoin urgent de programmes formalisés d'éducation et de formation pour l'industrie.
Les attaquants découvrent et exploitent régulièrement les vulnérabilités des logiciels, ce qui souligne l'importance croissante d'une sécurité logicielle solide. Malgré cela, de nombreux développeurs n'ont pas les connaissances et les compétences essentielles pour mettre en œuvre efficacement le développement de logiciels sécurisés. Les résultats de l'enquête présentés dans le rapport montrent que près d'un tiers de tous les professionnels directement impliqués dans le développement et le déploiement - opérations système, développeurs logiciels, responsables de la validation et de la maintenance - déclarent ne pas être familiarisés avec les pratiques de développement sécurisé des logiciels. Cette situation est d'autant plus préoccupante que ce sont eux qui sont en première ligne pour créer et maintenir le code qui fait fonctionner les applications et les systèmes d'une entreprise.
« À maintes reprises, nous avons vu l'exploitation de vulnérabilités logicielles conduire à des conséquences catastrophiques, soulignant le besoin critique pour les développeurs à tous les niveaux d'être armés de connaissances et de compétences adéquates pour écrire du code sécurisé », a déclaré David A. Wheeler, directeur de la sécurité de la chaîne d'approvisionnement open source pour la Fondation Linux. « Notre étude a révélé que l'un des principaux défis est le manque d'éducation en matière de développement de logiciels sécurisés. Les praticiens ne savent pas par où commencer et apprennent au fur et à mesure. Il est clair qu'un effort à l'échelle de l'industrie pour mettre au premier plan l'éducation au développement sécurisé doit être une priorité ».
Les résultats de l'enquête indiquent que le manque de sensibilisation à la sécurité est probablement dû au fait que la plupart des programmes éducatifs actuels donnent la priorité à la fonctionnalité et à l'efficacité, tout en négligeant souvent la formation essentielle à la sécurité. En outre, la plupart des professionnels (69 %) s'appuient sur l'expérience professionnelle comme principale ressource d'apprentissage, alors qu'il faut au moins cinq ans d'expérience pour atteindre un niveau minimum de connaissance en matière de sécurité.
D'autres résultats clés de l'enquête sont les suivants :
- Le manque de temps (58 %) et le manque de sensibilisation et de formation (50 %) sont les deux principaux obstacles à la mise en œuvre de pratiques de développement de logiciels sécurisés au sein des entreprises.
- La principale raison (44 %) de ne pas suivre de cours sur le développement de logiciels sécurisés est la méconnaissance d'un bon cours sur le sujet.
- Les méthodes d'apprentissage autonome sont les plus répandues, 74 % des personnes interrogées déclarant utiliser des ressources telles que des tutoriels en ligne, des vidéos et des livres comme principale méthode d'apprentissage.
- Les préoccupations émergentes en matière de sécurité, telles que l'IA (57 %) et la chaîne d'approvisionnement (56 %), sont considérées comme des domaines futurs critiques pour l'innovation et l'attention.
« La première étape pour aborder le développement de logiciels sécurisés est de reconnaître le manque de connaissances existant et d'identifier les domaines prioritaires pour créer une formation supplémentaire », a déclaré Christopher "CRob" Robinson, Intel, co-président de l'OpenSSF Education Special Interest Group (SIG) et président de l'OpenSSF Technical Advisory Council (TAC). Sur la base de ces résultats, l'OpenSSF va créer un nouveau cours sur l'architecture de sécurité qui sera disponible dans le courant de l'année et qui contribuera à promouvoir une approche de « sécurité par la conception » dans la formation des développeurs logiciels.
Source : La Fondation Linux
Et vous ?
Quel est votre avis sur le sujet ? Trouvez-vous les conclusions de cette étude de la Fondation Linux crédibles ou pertinentes ?Voir aussi :
Les développeurs passent 57 % de leurs temps à résoudre des problèmes plutôt qu'à innover, mais 78 % pensent que la mise en oeuvre de l'observabilité full-stack serait bénéfique, selon une étude de Cisco Est-il possible de mesurer la productivité des développeurs ? Oui, selon McKinsey, qui suggère une approche adaptée au contexte et aux objectifs Le temps perdu par les développeurs coûterait des milliards aux entreprises, un gaspillage qui est estimé à environ 12,97 milliards de dollars par an 
).
