Le volume 10 du rapport Veracode sur l'état de la sécurité des logiciels représente le 10e anniversaire de cette analyse menée par Veracode. 85000 applications ont été analysées contre 1591 dans le premier volume.
Comme les rapports précédents, le volume 10 donne un aperçu des types de vulnérabilités les plus courantes, des pratiques qui permettent d'améliorer les taux de correction et des performances du secteur.
Le rapport a constaté que la majorité des défauts sont corrigés (56 %) et que les entreprises qui procèdent à des scannings ont souvent des failles de sécurité 5 fois moins élevées que les autres.
Mais le temps généralement nécessaire pour corriger ces défauts révèle une décennie sans changement (59 jours moyenne en 2010 ; médiane sur 59 jours en 2019).
Selon Veracode, ce résultat s’explique par le fait que ces équipes ont automatisé les tests de sécurité, ont rendu les activités de sécurité récurrentes, veillent à ce que les problèmes de sécurité restent au premier plan et finissent par corriger davantage de défauts.
En un mot, les pratiques DevSecOps améliorent la sécurité globale des logiciels. Avec des tests fréquents, cette approche réduit de 72 % les délais habituels de correction et elle « diminue la dette globale de sécurité d'un facteur de 5 » selon Veracode !
Mais il reste encore du travail à faire : Veracode a découvert environ 10 millions de défauts sur 85 000 applications. En étudiant le Top 10 des vulnérabilités de l'OWASP et du « SANS 25 Software », l’éditeur a constaté que le taux de réussite pour la conformité au Top 10 de l'OWASP s’est amélioré en passant à 32 %.
Ce n'est pas le plus élevé jamais enregistré - ce pic s'est produit en 2016 - mais la tendance sur 10 ans montre que la situation évolue positivement. Par contre, le taux de réussite aux tests basés sur le SANS correspond, de manière surprenante, à exactement ce que Veracode avait testé dans le volume 1.
Dans l'ensemble, Veracode a découvert des failles (niveau 4 ou 5) dans 20 % des applications, une amélioration de 14 % par rapport à la statistique équivalente mesurée il y a 10 ans.
Le taux de correction global sur l'ensemble est de 56 %, ce qui est proche des années précédentes (52 % en 2018 ; 58 % en 2017). Logiquement, les failles les plus critiques sont corrigées plus souvent que les autres.
Quant aux failles, elles restent toujours plus ou moins les mêmes. « Les injections XSS et CRLF peuvent être considérées comme des pandémies dans le paysage des applications.
Cela ne signifie pas nécessairement qu’elles représentent le risque le plus grave, mais cela implique un fléau incessant sur des programmes de développement qui ont un coût ou des conséquences élevés, ou les deux », rappelle Veracode.
Terminons par une note positive : la proportion globale de failles a, certes, augmenté de 11 % depuis que Veracode publie son rapport, mais la proportion des vulnérabilités les plus critiques a baissé de 14 % sur la même période.