Les violations de données par le biais de l'open source ont augmenté de 71% ces 5 dernières années,selon un rapport
Les violations de données par le biais de logiciels open source ont augmenté de 71% au cours des cinq dernières années, tandis que 26% des entreprises ont signalé une violation confirmée ou présumée d'applications Web au cours de la seule année écoulée, selon un nouveau rapport.
Envoyé par Sonatype
La course à une plus grande vitesse dans DevOps a également soulevé la marée des logiciels open source. Aujourd'hui, plus de 85% d'une application moderne est construite à partir de composants open source, les développeurs choisissant de télécharger en une seconde ce qu'ils pourraient prendre des jours, voire des semaines à développer de zéro.
Alors que les développeurs de logiciels ont augmenté de manière exponentielle leur dépendance aux composants logiciels open source, nous avons appris que tous les composants ne sont pas créés égaux. De Heartbleed d’OpenSSL à Poodle, en passant par Bash, et Struts2, les violations liées à l’open source sont à la hausse.
En ce qui concerne les pratiques de DevSecOps, nous avons constaté que de plus en plus d'entreprises investissaient dans des contrôles qui commençaient par garder un inventaire de tous les composants utilisés. Les répondants à l'enquête ont également révélé qu'il était difficile d'ignorer l'automatisation des pratiques de sécurité liées à la gouvernance open source.
L’automatisation de la sécurité porte ses fruits pour le DevOps Élite, mais cela n’est peut-être pas directement apparent. Lorsque l'on compare les violations liées à l'open source au sein du groupe DevSecOps Elite avec celles utilisant des pratiques DevOps immatures, les pratiques les plus matures font apparaître un pourcentage plus élevé de violations. Avec moins de visibilité et moins de contrôles autour de l'open source dans des organisations moins matures, nous avons suspecté que les brèches inférieures dans le groupe d'immatures étaient davantage une indication du manque de sensibilisation à la brèche.
Alors que les développeurs de logiciels ont augmenté de manière exponentielle leur dépendance aux composants logiciels open source, nous avons appris que tous les composants ne sont pas créés égaux. De Heartbleed d’OpenSSL à Poodle, en passant par Bash, et Struts2, les violations liées à l’open source sont à la hausse.
En ce qui concerne les pratiques de DevSecOps, nous avons constaté que de plus en plus d'entreprises investissaient dans des contrôles qui commençaient par garder un inventaire de tous les composants utilisés. Les répondants à l'enquête ont également révélé qu'il était difficile d'ignorer l'automatisation des pratiques de sécurité liées à la gouvernance open source.
L’automatisation de la sécurité porte ses fruits pour le DevOps Élite, mais cela n’est peut-être pas directement apparent. Lorsque l'on compare les violations liées à l'open source au sein du groupe DevSecOps Elite avec celles utilisant des pratiques DevOps immatures, les pratiques les plus matures font apparaître un pourcentage plus élevé de violations. Avec moins de visibilité et moins de contrôles autour de l'open source dans des organisations moins matures, nous avons suspecté que les brèches inférieures dans le groupe d'immatures étaient davantage une indication du manque de sensibilisation à la brèche.
Envoyé par Sonatype
Une des questions clés que nous posons chaque année concerne le niveau de maturité DevOps d’une organisation. L'enquête a demandé aux participants d'auto-identifier leur niveau de maturité DevOps parmi une variété de choix. Nous avons encore une fois comparé les résultats de ceux qui utilisaient des pratiques DevOps matures avec ceux dont les pratiques étaient peu ou pas développées.
Dans de nombreux cas, les réponses au sondage ont été dramatiques et révélatrices. Les réponses à notre sondage de 2019 ont révélé où les équipes de DevOps ont intégré et automatisé la sécurité, où les pratiques ont « changé de direction » et où les efforts de collaboration entre les équipes de Dev, Ops et Sec portent leurs fruits. Nous avons également exploré quelles industries ont le plus progressé dans la transition des méthodes de développement agiles et en cascade aux pratiques DevOps.
Dans de nombreux cas, les réponses au sondage ont été dramatiques et révélatrices. Les réponses à notre sondage de 2019 ont révélé où les équipes de DevOps ont intégré et automatisé la sécurité, où les pratiques ont « changé de direction » et où les efforts de collaboration entre les équipes de Dev, Ops et Sec portent leurs fruits. Nous avons également exploré quelles industries ont le plus progressé dans la transition des méthodes de développement agiles et en cascade aux pratiques DevOps.
Quels types de pratiques de développement / déploiement sont utilisés dans votre entreprise?
L’étude de Sonatype, spécialiste de la gouvernance open source, montre également que 41% des dirigeants admettent que leur entreprise ne suit pas de programme de gouvernance open source.
« Les composants open source, qui représentent 80 à 90% d'une application d'entreprise, ont joué un rôle déterminant dans l'innovation et l'accélération des délais de mise sur le marché », a déclaré Derek Weeks, vice-président et avocat de DevOps chez Sonatype. « Mais avec 50% des composants téléchargés contenant une vulnérabilité connue, il est essentiel que les entreprises mettent en œuvre une gouvernance logicielle appropriée afin de garantir la qualité, et la sécurité, de leurs applications dès le début ».
Les pratiques de DevSecOps aident toutefois les entreprises à renforcer leurs capacités en matière de cybersécurité. Parmi les organisations interrogées, 81% de celles ayant des programmes élites DevSecOps avaient un plan de réponse en matière de cybersécurité, contre 62% des autres. Les sociétés Elite DevSecOps sont également trois fois plus susceptibles de dispenser une formation en sécurité des applications. D’autres résultats clés montrent que 62% des répondants disposant de programmes élites ont mis en place un programme de gouvernance open source, contre seulement 25% de ceux qui n’ont pas de pratiques DevOps.
D'autres conclusions mettent en évidence les problèmes de ressources auxquels font face les entreprises et montrent que peu de progrès ont été accomplis. Pour la troisième année consécutive, près de la moitié (48%) des développeurs ont déclaré qu’ils considéraient la sécurité comme une priorité, mais qu’ils n’avaient pas suffisamment de temps à lui consacrer. En parallèle, 50% des personnes interrogées utilisant une infrastructure de cloud s'appuient sur le fournisseur de cloud pour assurer la sécurité au lieu de se gérer elles-mêmes.
« À une époque où les développeurs sont sous pression et incapables de trouver suffisamment de temps pour la sécurité, le besoin de tests automatisés de sécurité des applications devient encore plus évident », conclut Weeks. « La communauté DevSecOps nous a montré que les organisations d'élite effectuaient beaucoup moins de travail manuel, augmentant l'efficacité, ce qui les a aidés simultanément à améliorer leurs capacités en matière de cybersécurité et à mieux se préparer aux incidents de sécurité à mesure qu'ils surviennent ».
Source : rapport
Et vous ?
Utilisez-vous des logiciels / bibliothèque open source en entreprise ou développez-vous à chaque fois de zéro un utilitaire qui peut servir aux besoins de l'entreprise ? Votre entreprise effectue-t-elle régulièrement des mises à jour ? Votre entreprise garde-t-elle une trace de tous les logiciels / bibliothèques open source utilisés ?Voir aussi :
L'IA remplacera la plupart des emplois actuels, mais avec une forte augmentation de la richesse globale selon Sam Altman, cofondateur d'OpenAI Google lance Flutter 1.2, son SDK open source de développement d'apps mobiles iOS et Android, et Dart DevTools, une suite d'outils de programmation C'est un téléphone annoncé comme open source et personnalisable via l'EDI pour Arduino : le WiPhone est estimé à moins de 100 $ La Linux Foundation compte 34 nouveaux membres, parmi lesquels des entreprises et des ONG, qui ont décidé de s'investir davantage sur l'open source
Vous avez lu gratuitement 652 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
