Discussion :

[Sandra Coret]

Seuls 3 % des vulnérabilités de code "critiques" sont attaquables, ce qui permet aux développeurs de pouvoir mieux hiérarchiser leurs efforts et réduire considérablement leur charge de travail

L'étude de la société ShiftLeft, spécialisée dans les tests de sécurité automatisés, montre que le fait de se concentrer sur ces 3 % permet aux équipes d'accélérer et de simplifier considérablement leurs efforts. ShiftLeft a constaté une amélioration de 37 % par rapport à l'année dernière du temps moyen pour remédier aux nouvelles vulnérabilités, avec un temps d'analyse médian de 1 minute 30 secondes.

Des analyses plus rapides, l'insertion automatique dans les pipelines de CI et une plus grande couverture d'analyse dans un plus grand nombre de langues ont également permis aux équipes AppSec de passer d'une analyse mensuelle ou hebdomadaire des vulnérabilités à une analyse quotidienne. Le rapport fait état d'une augmentation de 68 % des analyses quotidiennes d'une année sur l'autre.

En identifiant et en priorisant les vulnérabilités OSS qui sont réellement attaquables, les équipes AppSec et les développeurs corrigent ce qui est important, livrent le code plus rapidement et améliorent réellement la sécurité avec des corrections moins nombreuses et plus efficaces.

"D'après nos résultats, deux équipes de développement sur trois perdent littéralement du temps sur les 97 % de correctifs qui ne sont pas attaquables et qui n'apportent que peu de bénéfices en termes de sécurité", explique Manish Gupta, PDG de ShiftLeft. "D'un autre côté, les équipes qui déplacent la sécurité vers la gauche et se concentrent sur l'attaquabilité expédient du code plus sûr, plus fréquemment. Cela améliore clairement la sécurité de leurs applications tout en améliorant la productivité des développeurs et la vélocité des produits."

ShiftLeft s'est également penché sur les analyses de la vulnérabilité Log4J et a cartographié les flux de données réels dans les applications de production en combinant les résultats des analyses SAST (Static Application Security Testing) et SCA (Software Composition Analysis). Cette analyse a révélé que seuls 4 % de toutes les instances de Log4J étaient en fait vulnérables. Les équipes qui disposaient de cette information ont économisé des mois de temps perdu à rechercher et à réparer des instances Log4J qui ne présentaient que peu ou pas de risque.

Source : ShiftLeft

Et vous ?

Trouvez-vous cette étude pertinente ?

Voir aussi :

52 % des applications du secteur de la santé présentent au moins une vulnérabilité sérieuse - classée "élevée" ou "critique" sur l'échelle CVSS - ouverte tout au long de l'année, selon NTT

Les entreprises mettent près de deux mois à corriger les vulnérabilités critiques, avec un délai moyen de correction (MTTR) de 60 jours, 57% de ces vulnérabilités ont plus de deux ans, selon Edgescan

28 % des entreprises présentent des vulnérabilités critiques qui pourraient facilement être exploitées par une cyberattaque, qui demeurent incorrigées malgré les signalements, selon Bulletproof

Le délai moyen d'exploitation des vulnérabilités est de 12 jours, contre 42 jours l'année dernière, et cela constitue un risque majeur pour les entreprises, selon un rapport de Rapid7

[Mingolito]

Ca c'est quand il y a quelqu'un pour chercher et corriger les vulnérabilités, souvent c'est même pas le cas