La gestion et la sécurisation de la chaîne d'approvisionnement des logiciels de bout en bout sont essentielles pour fournir des versions de logiciels fiables. Cependant, les entreprises ont des difficultés dans ce domaine. Un rapport de Foundry en 2022 avait montré 90 % des responsables de la sécurité informatique interrogés ont déclaré que leurs organisations ne parviennent pas à faire face aux risques de cybersécurité. Cette perception était due à la difficulté de convaincre toute ou une partie de l'organisation de la gravité du risque ainsi qu'au manque d'investissement pour faire face aux risques.Si en 2025, les organisations ont de plus en plus conscience de la gravité des risques, un nouveau rapport de JFrog fait état de menaces émergentes pour la sécurité des logiciels, de l'évolution des risques et des meilleures pratiques DevOps, et de problèmes de sécurité potentiellement explosifs à l'ère de l'IA. Basé sur les points de vue de plus de 1 400 professionnels du développement, de la sécurité et des opérations, ainsi que sur l'analyse de CVE, le rapport révèle pourquoi la surveillance de la chaîne d'approvisionnement est souvent difficile pour les entreprises dans le paysage des menaces en expansion et frénétique auquel l'ère actuelle de l'IA est confrontée.Le rapport montre que :Bien que 94 % des entreprises utilisent des listes certifiées pour régir l'utilisation des artefacts de ML, 37 % d'entre elles s'appuient encore sur des efforts manuels pour établir et tenir à jour leurs listes de modèles de ML approuvés. Cette dépendance excessive à l'égard de la validation manuelle crée une incertitude quant à la précision et à la cohérence de la sécurité des modèles de ML.Yoav Landman, CTO et cofondateur de JFrog, commente le rapport : "Il ajoute : "Les principaux facteurs de sécurité ayant un impact sur l'intégrité et la sécurité de la chaîne d'approvisionnement des logiciels sont les suivants : Les CVE, les paquets malveillants, l'exposition des secrets et les mauvaises configurations/erreurs humaines. À titre d'exemple, l'équipe de recherche en sécurité de JFrog a détecté 25 229 secrets/tokens exposés dans les registres publics (en hausse de 64 % par rapport à l'année précédente). La complexité croissante des menaces qui pèsent sur la sécurité des logiciels rend plus difficile le maintien d'une sécurité cohérente de la chaîne d'approvisionnement en logiciels.DockerHub continue d'être l'écosystème le plus contribué sur la base des données du JFrog Catalog examinant les registres publics. Bien que le rythme de croissance ait quelque peu ralenti en 2024 par rapport à la croissance explosive de 2023, environ 2 millions de nouveaux paquets ont été ajoutés en 2024.Le nombre de nouveaux CVE, en hausse de 27 % par rapport à 2023, suscite des inquiétudes, d'autant plus que nombre d'entre eux sont mal notés. Le rapport révèle que 12 % des CVE de premier plan classés « critiques » (CVSS 9.0-10.0) par les organisations gouvernementales justifient le niveau de gravité critique qui leur a été attribué parce qu'ils sont susceptibles d'être exploités par des attaquants.Cependant, le rapport affirme qu'il ne faut pas juger un CVE par son CVSS. Lors d'un examen de 183 CVE élevés et critiques provenant des composants et technologies les plus populaires parmi les clients de JFrog, seuls 27 CVE (15 %) se sont révélés hautement exploitables, avec un taux d'applicabilité supérieur à 80 %.Il est également inquiétant de constater que seuls 43 % des professionnels de l'informatique déclarent que leur organisation applique des analyses de sécurité à la fois au niveau du code et au niveau binaire, ce qui laisse de nombreuses organisations vulnérables aux menaces de sécurité qui ne peuvent être détectées qu'au niveau binaire. Ce chiffre est en baisse par rapport aux 56 % de l'année dernière, ce qui montre que les équipes ont encore d'énormes angles morts lorsqu'il s'agit d'identifier et de prévenir les risques logiciels le plus tôt possible.Ce résultat est assez similaire au rapport de CrowdStrike en juillet 2024 qui révélait que les spécialistes de la cybersécurité n'examinent les principales mises à jour des applications logicielles que dans 54 % des cas. Selon le rapport de CrowdStrike, plus d'un cinquième des personnes interrogées ont répondu qu'elles n'examinaient les modifications majeures du code que dans moins d'un quart des cas et que 22 % des personnes interrogées ont avoué avoir procédé à un examen de sécurité moins de la moitié des cas.JFrog a pour mission de créer un monde de logiciels livrés sans friction du développeur à l'appareil. Animée par une vision de « logiciel liquide », la plateforme de chaîne logistique logicielle de JFrog est un système d'enregistrement unique qui permet aux organisations de créer, gérer et distribuer des logiciels rapidement et en toute sécurité, en garantissant leur disponibilité, leur traçabilité et leur inviolabilité. Les fonctions de sécurité intégrées permettent également d'identifier, de protéger et de remédier aux menaces et aux vulnérabilités.Pensez-vous que ce rapport est crédible ou pertinent ?Quel est votre avis sur le sujet ?