Lisez l'évaluation CSO pour une analyse franche et honnête de la solution Contrast Security.
Contrast Security a exécuté le référentiel et les résultats ont été sans appel. Les meilleurs produits SAST (analyse statique de sécurité applicative) commerciaux ont obtenu un score de précision de 32 % et le pire d'entre eux a obtenu 17 %. Pour les produits DAST (analyse dynamique de sécurité applicative), les résultats ont été tout aussi surprenants : le produit le plus performant s'est vu attribuer un score 17 % et le moins performant a obtenu un score de 1 %.
Les entreprises s’appuient depuis plus de dix ans sur des produits SAST et DAST pour sécuriser leurs applications et vérifier les exigences de conformité. Le projet OWASP Benchmark de 2015 montre que les solutions SAST et DAST existantes rendent les entreprises vulnérables aux attaques.
Les solutions IAST (tests de sécurité des applications basés sur les interactions) comme Contrast Assess s'intègrent dans une application en cours d'exécution pour évaluer la sécurité au sein d'un contexte opérationnel complet. Comme le montre clairement le test OWASP, cette approche est non seulement beaucoup plus précise, mais elle est également plus rapide et plus facile à déployer.
N'importe qui peut utiliser le benchmark OWASP pour évaluer les avantages et les inconvénients des solutions existantes. Contrast Assess est un choix évident pour améliorer ou remplacer les solutions SAST et DAST courantes. Demandez à votre fournisseur de sécurité applicative actuel les scores OWASP de leurs solutions, puis contactez Contrast Security pour en savoir plus sur les nôtres.
N'oubliez pas de demander à vos fournisseurs de sécurité applicative leur « indice de précision » sur le référentiel OWASP. Le score de précision dresse un portrait complet. Les vendeurs peuvent être tentés de souligner uniquement la partie positive de leur score, qui en reste pas moins incomplet. Le « score de précision » du benchmark OWASP combine les vrais positifs et les faux positifs pour mesurer la vraie précision du produit.
L'OWASP Benchmark calcule le score de précision global d'un produit en soustrayant son taux de faux positifs (FPR) de son taux de vrais positifs (TPR). Cela permet d’équilibrer les rapports de vulnérabilités pour en assurer l'exactitude. Un score de précision parfaite de 100 % se produit lorsque le TPR d'un produit est de 100 % et que le FPR est de 0 %.
Par exemple, imaginez une application comportant plusieurs vulnérabilités et les trois outils de test de sécurité applicative suivants. (1) L'outil de test de sécurité applicative ne fait rien. Par conséquent, il ne trouve aucune vulnérabilité dans cette application et ne génère aucune fausse alarme. Son TPR est de 0 % et son FPR de 0 %, donc son score est de 0 % sur le référentiel. (2) Un outil de test de sécurité applicative différent détecte une vulnérabilité dans chaque ligne de code ou page web. Son TPR est alors de 100 %, car toutes les vulnérabilités sont détectées, mais son FPR est également de 100 %, donc son score sera également de 0 % selon le référentiel. (3) Le troisième outil de test de sécurité a un TPR et un FPR identiques, ce qui signifie que le produit ne peut pas les distinguer. Ce produit obtiendra également un score de
Le Benchmark Project adhère au principe du « libre et ouvert » qui caractérise OWASP. Tout le monde peut télécharger et utiliser les ressources du projet, les passer en revue et contribuer au projet. La ressource principale du référentiel est une application contenant actuellement un peu moins de 3 000 cas d'analyse, répertoriés dans 11 catégories de vulnérabilités distinctes. Les tests incluent des vulnérabilités réelles ainsi que des scénarios ressemblant à des vulnérabilités, mais qui n'en sont pas, pour vérifier les réactions face aux faux positifs. En plus de l'application de test, le Benchmark Project inclut un outil qui normalise les activités de la solution de sécurité applicative testée puis calcule un score de précision.
Contrast Security est le premier fournisseur mondial de technologies de sécurité permettant aux applications logicielles de se protéger contre les cyberattaques, annonçant la nouvelle ère des logiciels auto-protecteurs. L'instrumentation de sécurité profonde brevetée de Contrast est une technologie révolutionnaire qui permet une évaluation très précise et une protection permanente de tout un portefeuille d'applications, sans analyse perturbatrice ni experts en sécurité onéreux. Seul Contrast dispose de capteurs qui travaillent activement à l'intérieur des applications pour détecter les vulnérabilités, prévenir les violations de données et sécuriser l'ensemble de l'entreprise, du développement aux opérations, en passant par la production.