Au cours de leur première année d'existence, un tiers des applications (5 %) présentent des failles de sécurité, et à l'âge de XNUMX ans, ce nombre passe à plus des deux tiers (XNUMX %), selon une nouvelle étude.
Un nouveau rapport de Veracode a révélé que les entreprises doivent trouver les défauts tôt, souvent et de différentes manières pour minimiser le risque de problèmes difficiles sur la route.
La société a examiné plus de trois quarts de million d'applications provenant d'éditeurs de logiciels commerciaux, de sous-traitants en logiciels et de projets open source et a constaté qu'après l'introduction initiale des défauts, les applications entrent souvent dans une « période de lune ». de stabilité : pratiquement quatre-vingts %. N'introduisez pas de nouveaux défauts au cours de la première année et demie.
erreurs coûteuses
Après cela, certains développeurs recommencent à être bâclés, et le nombre de nouveaux bugs introduits dans le code passe à environ trente-cinq% après 5 ans.
Ne pas traiter rapidement les failles de sécurité pourrait entraîner des coûts énormes, affirme Veracode, citant des rapports récents selon lesquels une violation de données moyenne coûte désormais XNUMX millions d'euros.
Au lieu de cela, les développeurs doivent faire un certain nombre de choses pour réduire la probabilité d'introduction de bogues, y compris la formation des développeurs et l'utilisation de plusieurs types d'analyses, y compris les API d'analyse.
La fréquence des analyses est également un facteur important, a ajouté la société. En plus de cela, ils doivent s'attaquer au plus tôt et au plus vite à la dette technique et sécuritaire, prioriser la formation à l'automatisation et à la sécurité des développeurs, et établir un protocole de gestion de la durée de vie de l'application qui intègre la conduite du changement, l'allocation des ressources et les contrôles organisationnels.
"L'utilisation d'une solution d'analyse de la composition logicielle (SCA) qui exploite plusieurs sources de vulnérabilités, au-delà de la base de données nationale des vulnérabilités, fournira une alerte précoce aux équipes une fois qu'une vulnérabilité est révélée et leur permettra d'ajouter des protections plus rapidement, espérons-le avant le début de l'exploitation." a déclaré Chris Eng, directeur de la recherche chez Veracode.
"Il est également conseillé de définir des politiques organisationnelles autour de la détection et de la gestion des vulnérabilités, telles que l'estimation des moyens de réduire les dépendances vis-à-vis de tiers."