Chaîne d’approvisionnement logicielle :
état des lieux en 2024

De l’innovation à l’infiltration : Protégez-vous contre les dangers cachés de votre écosystème logiciel
Nous avons compilé les réponses de 1 200 professionnels de la sécurité, du développement et des opérations, des analyses menées par de l’équipe de recherche en sécurité JFrog et les données d’Artifactory pour comprendre l’état de la sécurité de la chaîne d’approvisionnement logicielle. Voici un échantillon des résultats :

  • La chaîne d’approvisionnement open source explose avec des centaines de milliers de nouveaux packages ajoutés en 2023
  • Les entreprises ont besoin de solutions efficaces pour hiérarchiser les mesures correctives: le niveau de criticité de 85 % des CVE analysées a été rabaissé l’équipe de recherche en sécurité JFrog
  • La prolifération des outils de sécurité a un impact sur l’efficacité des développeurs, qui consacrent jusqu’à 25 % de leur temps à des opérations de remédiation
  • Les entreprises préfèrent utiliser l’IA pour la sécurité plutôt que de lui confier l’écrire du code

Télécharger le rapport maintenant
En téléchargeant ce rapport, vous reconnaissez la Politique de confidentialité de JFrog

Chaîne d’approvisionnement logicielle
- état des lieux :

Plus de 10 langages de programmation

utilisés par certaines équipes de développement

4 à 9 outils de sécurité des applications

en moyenne, 10 ou plus pour les grandes entreprises

25 % du temps des développeurs

consacré aux opérations de remédiation pour beaucoup d'entreprises

La vieille garde
résiste bien

Les données de JFrog montrent que les principales technologies utilisées par les entreprises pour créer des logiciels prêts à la production n’ont pas beaucoup changé en un an. Maven, PyPI, NPM et Docker restent les écosystèmes de packages les plus populaires.

Pour en savoir plus, consultez le rapport

Les CVE ne sont pas toutes égales

En s’intéressant à plus de 200 CVE très médiatisées créées en 2023, l’équipe de recherche en sécurité JFrog a constaté que le niveau de gravité de 85 % des CVE critiques et de 73 % des CVE élevées était surestimé. Une analyse plus poussée a révélé que de nombreuses CVE n’étaient probablement pas exploitables en situation de développement réelle.

Télécharger le rapport

Vous avez toujours envie d’en savoir plus ?
Téléchargez le rapport de l’année dernière.

Télécharger le rapport