L'enquête Synopsys a révélé qu'une proportion importante d'entreprises déploient consciemment des applications vulnérables en raison des contraintes de temps

shahadat-rahman-BfrQnKBulYQ-unsplash

Note de l'éditeur: Synopsys, l'un des principaux fournisseurs de cybersécurité au monde, a publié un livre électronique sur la «sécurité du développement d'applications modernes». Dans l'ebook, le fournisseur a détaillé une enquête auprès des professionnels de la cybersécurité et des applications, menée par ESG, et a montré que près de la moitié (48%) des répondants déploient consciemment du code vulnérable sur le marché en raison de contraintes de temps. Le communiqué de presse du fournisseur est ci-dessous.

L'étude DevSecOps révèle que près de la moitié des organisations déploient consciemment des applications vulnérables en raison de contraintes de temps

Une étude menée par le cabinet d'analystes ESG explore les tendances et les défis de sécurité émergents dans le développement d'applications modernes

SINGAPOUR, @mcgallen #microwireinfo, 12 août 2020: Synopsys, Inc. (Nasdaq: SNPS) a publié aujourd'hui le EBook "Modern Application Development Security". Basé sur une enquête auprès des professionnels de la cybersécurité et du développement d'applications menée par Enterprise Strategy Group (ESG), l'eBook met en évidence la mesure dans laquelle les équipes de sécurité comprennent les pratiques de développement et de déploiement modernes, et les domaines dans lesquels des contrôles de sécurité sont nécessaires pour réduire les risques. L'étude révèle que près de la moitié (48%) des répondants à l'enquête poussent consciemment le code vulnérable à la production en raison des contraintes de temps. L'étude identifie également que les intégrations complétant le développement d'applications à haute vitesse sont les plus importantes, selon 43% des répondants, pour améliorer les programmes de sécurité des applications.

«DevSecOps a déplacé la sécurité au premier plan dans le monde du développement moderne; cependant, les équipes de sécurité et de développement sont guidées par différentes mesures, ce qui rend l'alignement des objectifs difficile », a déclaré Dave Gruber, analyste ESG principal. «Cela est encore aggravé par le fait que la plupart des équipes de sécurité ne comprennent pas les pratiques modernes de développement d'applications. Le passage à des architectures basées sur les microservices et l'utilisation de conteneurs et d'architectures sans serveur ont changé la dynamique de la manière dont les développeurs créent, testent et déploient le code. »

Synopsys a mandaté ESG, une organisation de recherche et d'analyste informatique de premier plan, pour documenter les informations sur la dynamique entre les équipes de développement et les équipes de cybersécurité en ce qui concerne le déploiement et la gestion des solutions de sécurité des applications. L'ESG a interrogé 378 professionnels de la cybersécurité qualifiés ayant un aperçu et la responsabilité des technologies de développement d'applications de sécurité, et des professionnels du développement d'applications impliqués dans la sécurisation des outils et processus de développement. Les répondants au sondage travaillent dans des organisations de plusieurs secteurs verticaux, notamment la fabrication, les services financiers, la construction / l'ingénierie et les services aux entreprises, entre autres aux États-Unis et au Canada.

«Les informations clés identifiées dans cette étude soulignent le fait que les organisations doivent aborder la sécurité des applications de manière holistique tout au long du cycle de vie du développement», a déclaré Patrick Carey, directeur du marketing produit pour Synopsys Software Integrity Group. «Parmi les organisations qui poussent consciemment du code vulnérable en production, 45% le font parce que les vulnérabilités identifiées ont été découvertes trop tard dans le cycle pour les résoudre à temps. Cela réaffirme l'importance de déplacer la sécurité vers la gauche dans le processus de développement, permettant aux équipes de développement de bénéficier d'une formation continue ainsi que de solutions d'outillage qui complètent leurs processus actuels afin qu'ils puissent coder en toute sécurité sans affecter négativement leur vitesse.

Les principaux enseignements de l'étude comprennent:

  • La plupart des organisations estiment que leur programme de sécurité des applications est efficace, bien que beaucoup continuent de pousser les applications vulnérables en production. Soixante-neuf pour cent des répondants au sondage évaluent l'efficacité de leur programme actuel à 8 ou plus sur une échelle de 0 à 10 (10 étant le plus efficace). Cependant, comme près de la moitié des organisations poussent consciemment du code vulnérable de manière régulière, la plupart ont été confrontées à des exploits d'application de production impliquant les 10 principales vulnérabilités OWASP au cours des 12 derniers mois.
  • L'intégration DevOps est un élément essentiel de l'amélioration. Plus d'un quart des personnes interrogées déclarent que leurs outils actuels de sécurité des applications ajoutent des frictions et ralentissent les cycles de développement, tandis que 23% identifient une mauvaise intégration avec les outils de développement / DevOps comme un défi commun. En outre, 26% des personnes interrogées notent une difficulté ou un manque d'intégration entre les différents outils des fournisseurs de sécurité des applications comme un défi courant de sécurité des applications.
  • Les développeurs jouent un rôle important dans la sécurité des applications, mais ils manquent de compétences et de formation. Près d'un tiers (29%) des répondants déclarent que les développeurs de leur organisation ne disposent pas des connaissances nécessaires pour atténuer les problèmes identifiés par leurs outils de sécurité d'application actuels. De plus, seulement 17% déclarent que leurs développeurs utilisent la formation juste à temps disponible dans leurs outils de sécurité et seulement 29% sont tenus de participer à une formation au moins une fois par trimestre.
  • Les organisations prévoient d'augmenter les dépenses de sécurité des applications. Plus de la moitié (51%) des répondants signalent des plans d'augmentation significative des dépenses de sécurité des applications au cours des 12 prochains mois. Quarante-quatre pour cent prévoient de cibler les investissements de sécurité des applications vers le cloud.
  • La prolifération des outils AppSec pousse de nombreuses entreprises à investir dans la consolidation.De nombreuses organisations ont du mal à intégrer et à gérer le nombre d'outils en place, ce qui conduit souvent à une réduction de l'efficacité de leur programme de sécurité tout en dirigeant une quantité excessive de ressources pour les gérer. Avec 70% utilisant plus de dix outils, la complexité devient un problème majeur et, par conséquent, plus d'un tiers concentrent leurs investissements sur la consolidation.

Pour en savoir plus, téléchargez une copie du EBook "Modern Application Development Security", inscrivez-vous à notre septembre webinaire, ou lisez notre nouveau article de ce blog mettant en évidence les résultats de l'enquête.

À propos du groupe d'intégrité logicielle de Synopsys

Synopsys Software Integrity Group aide les équipes de développement à créer des logiciels sécurisés et de haute qualité, minimisant les risques tout en maximisant la vitesse et la productivité. Synopsys, leader reconnu de la sécurité des applications, fournit des solutions d'analyse statique, d'analyse de composition logicielle et d'analyse dynamique qui permettent aux équipes de trouver et de corriger rapidement les vulnérabilités et les défauts du code propriétaire, des composants open source et du comportement des applications. Avec une combinaison d'outils, de services et d'expertise de pointe, seul Synopsys aide les organisations à optimiser la sécurité et la qualité dans DevSecOps et tout au long du cycle de vie du développement logiciel. En savoir plus sur www.synopsys.com/software.

À propos de Synopsys

Synopsys, Inc. (Nasdaq: SNPS) est le partenaire Silicon to Software ™ des entreprises innovantes développant les produits électroniques et les applications logicielles sur lesquelles nous nous appuyons chaque jour. En tant que 15e plus grand éditeur de logiciels au monde, Synopsys est depuis longtemps un leader mondial de l'automatisation de la conception électronique (EDA) et de la propriété intellectuelle des semi-conducteurs et renforce également son leadership dans les solutions de sécurité et de qualité logicielles. Que vous soyez un concepteur de système sur puce (SoC) créant des semi-conducteurs avancés ou un développeur de logiciels écrivant des applications qui nécessitent la sécurité et la qualité les plus élevées, Synopsys a les solutions nécessaires pour fournir des produits innovants, de haute qualité et sécurisés. En savoir plus sur www.synopsys.com.

###