IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Seuls 3 % des vulnérabilités de code "critiques" sont attaquables, selon ShiftLeft


Sujet :

Sécurité

  1. #1
    Communiqués de presse

    Femme Profil pro
    Rédacteur technique
    Inscrit en
    mai 2018
    Messages
    1 506
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 32
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : mai 2018
    Messages : 1 506
    Points : 47 887
    Points
    47 887
    Par défaut Seuls 3 % des vulnérabilités de code "critiques" sont attaquables, selon ShiftLeft
    Seuls 3 % des vulnérabilités de code "critiques" sont attaquables, ce qui permet aux développeurs de pouvoir mieux hiérarchiser leurs efforts et réduire considérablement leur charge de travail

    L'étude de la société ShiftLeft, spécialisée dans les tests de sécurité automatisés, montre que le fait de se concentrer sur ces 3 % permet aux équipes d'accélérer et de simplifier considérablement leurs efforts. ShiftLeft a constaté une amélioration de 37 % par rapport à l'année dernière du temps moyen pour remédier aux nouvelles vulnérabilités, avec un temps d'analyse médian de 1 minute 30 secondes.

    Des analyses plus rapides, l'insertion automatique dans les pipelines de CI et une plus grande couverture d'analyse dans un plus grand nombre de langues ont également permis aux équipes AppSec de passer d'une analyse mensuelle ou hebdomadaire des vulnérabilités à une analyse quotidienne. Le rapport fait état d'une augmentation de 68 % des analyses quotidiennes d'une année sur l'autre.

    En identifiant et en priorisant les vulnérabilités OSS qui sont réellement attaquables, les équipes AppSec et les développeurs corrigent ce qui est important, livrent le code plus rapidement et améliorent réellement la sécurité avec des corrections moins nombreuses et plus efficaces.

    "D'après nos résultats, deux équipes de développement sur trois perdent littéralement du temps sur les 97 % de correctifs qui ne sont pas attaquables et qui n'apportent que peu de bénéfices en termes de sécurité", explique Manish Gupta, PDG de ShiftLeft. "D'un autre côté, les équipes qui déplacent la sécurité vers la gauche et se concentrent sur l'attaquabilité expédient du code plus sûr, plus fréquemment. Cela améliore clairement la sécurité de leurs applications tout en améliorant la productivité des développeurs et la vélocité des produits."

    Nom : ShiftLeft_PrimaryLogo.jpg
Affichages : 804
Taille : 78,4 Ko

    ShiftLeft s'est également penché sur les analyses de la vulnérabilité Log4J et a cartographié les flux de données réels dans les applications de production en combinant les résultats des analyses SAST (Static Application Security Testing) et SCA (Software Composition Analysis). Cette analyse a révélé que seuls 4 % de toutes les instances de Log4J étaient en fait vulnérables. Les équipes qui disposaient de cette information ont économisé des mois de temps perdu à rechercher et à réparer des instances Log4J qui ne présentaient que peu ou pas de risque.

    Source : ShiftLeft

    Et vous ?

    Trouvez-vous cette étude pertinente ?

    Voir aussi :

    52 % des applications du secteur de la santé présentent au moins une vulnérabilité sérieuse - classée "élevée" ou "critique" sur l'échelle CVSS - ouverte tout au long de l'année, selon NTT

    Les entreprises mettent près de deux mois à corriger les vulnérabilités critiques, avec un délai moyen de correction (MTTR) de 60 jours, 57% de ces vulnérabilités ont plus de deux ans, selon Edgescan

    28 % des entreprises présentent des vulnérabilités critiques qui pourraient facilement être exploitées par une cyberattaque, qui demeurent incorrigées malgré les signalements, selon Bulletproof

    Le délai moyen d'exploitation des vulnérabilités est de 12 jours, contre 42 jours l'année dernière, et cela constitue un risque majeur pour les entreprises, selon un rapport de Rapid7
    Publication de communiqués de presse en informatique. Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Membre extrêmement actif
    Homme Profil pro
    Inscrit en
    janvier 2014
    Messages
    1 334
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : janvier 2014
    Messages : 1 334
    Points : 5 068
    Points
    5 068
    Par défaut
    Ca c'est quand il y a quelqu'un pour chercher et corriger les vulnérabilités, souvent c'est même pas le cas
    « L’humour est une forme d'esprit railleuse qui s'attache à souligner le caractère comique, ridicule, absurde ou insolite de certains aspects de la réalité »

Discussions similaires

  1. Réponses: 0
    Dernier message: 10/04/2022, 21h39
  2. Réponses: 0
    Dernier message: 23/05/2018, 18h41
  3. Réponses: 10
    Dernier message: 13/01/2018, 06h55
  4. Réponses: 29
    Dernier message: 13/05/2015, 13h52
  5. Réponses: 2
    Dernier message: 06/05/2014, 09h14

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo