Quelle place occupe la sécurité dans vos applications ?
Quelle place occupe la sécurité dans vos applications ?
Elle ne serait pas une priorité pour un nombre important de développeurs
La sécurité est un aspect important dans le cycle de développement d’une application, surtout si celle-ci est critique. Vu les risques auxquels peut s'exposer une application, la sécurité est un impératif majeur pour les fournisseurs de logiciels.
Cependant, il semblerait que les développeurs accordent peu de place à la sécurité lors de la conception des logiciels.
C’est en tout cas ce qu’affirme une étude de comScore, commandée par Microsoft. L’étude a été menée auprès de 4 500 développeurs et professionnels de l’IT au Brésil, Canada, Chine, Allemagne, Inde, Japon, Russie, Royaume-Uni et États-Unis.
D’après l’étude, plus de 40 % des développeurs logiciels interrogés ont déclaré que la sécurité n’était pas une priorité pour eux. Un pourcentage similaire a déclaré ne pas utiliser un processus de programmation d’application sécurisée.
Les raisons évoquées par plusieurs développeurs selon comScore sont : les couts de la prise en charge de la sécurité (21 % des répondants), le manque de support et de formation (26 %) et plus sérieusement le manque de discussion sur le sujet (46 %).
Selon l’étude, les développeurs de l’Inde (79 %) et du Brésil (77 %) accordent plus d’importance à la sécurité que ceux des autres pays. Aux États-Unis, ils ne sont que 55 % et moins de 33 % au Japon.
Le rapport souligne également que très peu de développeurs ont recours à des processus sécurisés pour le développement comme SDL (Security Development Lifecycle), OpenSAMM (guide ouvert permettant d’améliorer la sécurité dans le développement d’applications) ou encore Homeland Security Build Security In.
SDL de Microsoft décrit le cycle de développement d’une sécurité fiable d’une application, pouvant résister à des attaques malveillantes. La plateforme SDL propose des outils gratuits, des ressources et des conseils pour développer une application sécurisée, ainsi que des modèles de processus SDL.
Selon Microsoft, la mise ne place d’un processus SDL en plus de mettre l’application à l’abri des attaques, permet également une réduction des couts.
Source : TechNet
Et vous ?
:fleche: Que place occupe la sécurité dans votre application ?
:fleche: Utilisez-vous des processus sécurisés comme SDL ?
La sécurité dans les dev,
est toujours zappée, et pas considérée par le management. Il n'y a ni le temps, et souvent ni les compétences et la motivation pour cela.
Après plus de 20 ans de pratique dans la conception et le développement avec de multiples langages dans de multiples domaines, je n' ai que très rarement vu des programmes bien conçus, bien architecturés et du code bien fait. La documentation comme la sureté et la sécurité est un luxe que les clients ne veulent pas payer.
La plupart du temps c'est programme devraient être jetés aux ordures et être refait et conçu par des seniors.
Sécurité, oui mais à quel point?
Bonjour,
Je rejoins ce qui a été dit auparavant (temps, connaissances, utilisations abusives de stagiaires...)
Développeur amateur depuis des années, j'ai cependant des applications dans mes cartons qui m'ont demandé beaucoup de temps et que j'espère pouvoir passer un jour au niveau sinon commercial du moins avec licence gratuite et de fonctionalités graduelles pour une licence payante...
N'étant pas à fond dans l'informatique, puisque j'ai changé de métier, j'ai tendance à me dire que la protection que j'envisage est destinée à des utilisations abusives contre les copies et donc je mets des sécurités simples qui décourageront les "surfeurs du Dimanche" qui ne veulent pas prendre la peine de demander une licence et refusent de s'inscrire...
Je considère que je n'ai pas les compétences pour faire face à des hackers professionnels, même si je connais des techniques de gestion de mots de passe et de chiffrement...
D'ailleurs, j'avais contacté à l'époque, des Sociétés informatiques pour qu'ils m'aident à protéger mes logiciels, mais il fallait que je leur fournisse tout le souce et prenaient très chers (c'était il y a dix ans). Maintenant il y a peut être d'autres possibilités...
Citation:
Perso, j'essaie toujours de blindé un max les controles, parce qu'avec l'équipe de commerciaux qui utilisent mes programmes, j'ai plutôt intérêt à passer plus e temps à développer sûr qu'à passer derrière eux
ça, c'est ce qui me parait indispensable! Et c'est déjà un sacré boulot. J'ai expérimenté cette année un nouveau programme pégagogique interactif avec mes étudiants. C'était une version Alpha et donc les étudiants avaient accès à mes ressources documentaires (fichiers textes) alimentant en réalité une base de donnée que j'avais pas encore protégée...
J'étais surpris (les étudiants aiment le jeu n'est-ce pas!) de voir qu'ils arrivaient à bloquer mes procédures malgré les nombreuses sécurités dans les tests dans le code...
Je serais intéressé pour des solutions simples et pas chères pour gérer par exemple des numéros de licence. J'avais développé un petit programme à l'époque qui marchait mais c'étaient pour mes Bêtastesteurs et amis qui se frotaient au logiciel...
Bonne journée