Chaîne d’Approvisionnement de Logiciels
Situation des artefacts logiciels en 2024

De l’innovation à l’infiltration : Protégez-vous contre les dangers cachés de votre écosystème logiciel
Nous avons combiné les réponses de 1 200 professionnels de la sécurité, du développement et des opérations, l’analyse de l’équipe de recherche en sécurité JFrog et les données d’Artifactory pour comprendre l’état de la sécurité de la chaîne d’approvisionnement logicielle. Voici un échantillon des résultats :
  • La chaîne d’approvisionnement open source explose avec des centaines de milliers de nouveaux packages ajoutés en 2023
  • Les entreprises ont besoin de solutions efficaces pour hiérarchiser les mesures correctives, 85 % des données CVE critiques examinées ayant été réduites en termes de gravité par l’équipe de recherche en sécurité de JFrog
  • La prolifération des outils de sécurité a un impact sur l’efficacité des développeurs, jusqu’à 25 % du temps étant consacré à la remédiation de la sécurité
  • Les entreprises préfèrent utiliser l’IA pour la sécurité plutôt que de lui confier l'écrire du code

Télécharger le rapport maintenant
En téléchargeant ce rapport, vous reconnaissez la Politique de confidentialité de JFrog

Chaîne d’Approvisionnement de Logiciels - Situation des artefacts logiciels Constat :

Plus de 10 langages de programmation

exploités par les équipes de développement

4 à 9 outils de sécurité applicative

utilisés en moyenne, 10 outils ou plus pour les grandes organisations

25 % du temps des développeurs

consacrés à la remédiation de la sécurité pour la majorité des organisations

La vieille garde continue de
tenir debout

Les données de JFrog montrent que les principales technologies utilisées par les entreprises pour créer des logiciels prêts pour la production n’ont pas beaucoup changé d’une année à l’autre. Maven, PyPI, NPM et Docker continuent d’être les principaux écosystèmes technologiques de packaging utilisés par les entreprises.

Pour en savoir plus, consultez le rapport

Toutes les CVE ne sont pas égales

Lors d'un examen de plus de 200 CVE très médiatisées créées en 2023, l'équipe JFrog Security Research a constaté que la gravité de 85 % des CVE critiques et de 73 % des CVE élevées était surestimée. Une analyse plus poussée a révélé que de nombreuses CVE ne sont probablement pas applicables dans le contexte réel du développement.

Télécharger le rapport

Vous avez toujours envie d’en savoir plus ?
Téléchargez le rapport de l’année dernière.

Télécharger le rapport