100 % DE PRECISION

DES NOTES TRÈS ÉLEVÉES POUR CONTRAST SECURITY
VIA L'EXÉCUTION DU BENCHMARK OWASP

MAGAZINE CSO : ÉVALUATION DE CONTRAST SECURITY

CSO From IDG Logo"Contrast Security propose l'une des solutions de sécurité applicative les plus élégantes du marché. L'obtention d'un score de 100 % sur l'indice de sécurité OWASP paraît évident."- John Breeden II

Lisez l'évaluation CSO pour une analyse franche et honnête de la solution Contrast Security.

Lire l'évaluation CSO


DES RÉSULTATS SURPRENANTS RÉVÈLENT D'IMPORTANTES FAIBLESSES STATIQUES ET DYNAMIQUES

Contrast Security a exécuté le référentiel et les résultats ont été sans appel. Les meilleurs produits SAST (analyse statique de sécurité applicative) commerciaux ont obtenu un score de précision de 32 % et le pire d'entre eux a obtenu 17 %. Pour les produits DAST (analyse dynamique de sécurité applicative), les résultats ont été tout aussi surprenants : le produit le plus performant s'est vu attribuer un score 17 % et le moins performant a obtenu un score de 1 %. 

OWASP Benchmark project graph showing Contrast Assess success vs SAST and DAST tools

Benchmark et résultats relatifs à la précision

Benchmark est une suite de tests de sécurité applicative gratuite et ouverte, comportant 2 740 problèmes de sécurité, dont 1 415 sont de véritables vulnérabilités que les outils doivent détecter, et dont 1 325 sont des leurres - ou des faux positifs : ils ressemblent à des vulnérabilités pour un outil « naïf », alors qu'ils n'en sont pas.


LES SAST ET DAST LAISSENT LES ENTREPRISES VULNÉRABLES

Les entreprises s’appuient depuis plus de dix ans sur des produits SAST et DAST pour sécuriser leurs applications et vérifier les exigences de conformité. Le projet OWASP Benchmark de 2015 montre que les solutions SAST et DAST existantes rendent les entreprises vulnérables aux attaques. 

L'APPROCHE DE CONTRAST ASSESS SE PLACE EN TÊTE DU BENCHMARK

Les solutions IAST (tests de sécurité des applications basés sur les interactions) comme Contrast Assess s'intègrent dans une application en cours d'exécution pour évaluer la sécurité au sein d'un contexte opérationnel complet. Comme le montre clairement le test OWASP, cette approche est non seulement beaucoup plus précise, mais elle est également plus rapide et plus facile à déployer.false-sense-of-application-security

REPENSER ET RÉTABLIR LA SÉCURITÉ DES APPLICATIONS

N'importe qui peut utiliser le benchmark OWASP pour évaluer les avantages et les inconvénients des solutions existantes. Contrast Assess est un choix évident pour améliorer ou remplacer les solutions SAST et DAST courantes. Demandez à votre fournisseur de sécurité applicative actuel les scores OWASP de leurs solutions, puis contactez Contrast Security pour en savoir plus sur les nôtres.

Télécharger la note technique

Comment les fournisseurs sont-ils notés : interprétation des scores du Benchmark OWASP

N'oubliez pas de demander à vos fournisseurs de sécurité applicative leur « indice de précision » sur le référentiel OWASP. Le score de précision dresse un portrait complet. Les vendeurs peuvent être tentés de souligner uniquement la partie positive de leur score, qui en reste pas moins incomplet. Le « score de précision » du benchmark OWASP combine les vrais positifs et les faux positifs pour mesurer la vraie précision du produit.

Comment est calculé le score du référentiel

L'OWASP Benchmark calcule le score de précision global d'un produit en soustrayant son taux de faux positifs (FPR) de son taux de vrais positifs (TPR). Cela permet d’équilibrer les rapports de vulnérabilités pour en assurer l'exactitude. Un score de précision parfaite de 100 % se produit lorsque le TPR d'un produit est de 100 % et que le FPR est de 0 %.  

Par exemple, imaginez une application comportant plusieurs vulnérabilités et les trois outils de test de sécurité applicative suivants. (1) L'outil de test de sécurité applicative ne fait rien. Par conséquent, il ne trouve aucune vulnérabilité dans cette application et ne génère aucune fausse alarme. Son TPR est de 0 % et son FPR de 0 %, donc son score est de 0 % sur le référentiel. (2) Un outil de test de sécurité applicative différent détecte une vulnérabilité dans chaque ligne de code ou page web. Son TPR est alors de 100 %, car toutes les vulnérabilités sont détectées, mais son FPR est également de 100 %, donc son score sera également de 0 % selon le référentiel. (3) Le troisième outil de test de sécurité a un TPR et un FPR identiques, ce qui signifie que le produit ne peut pas les distinguer. Ce produit obtiendra également un score de a 0%.

Dans le cas de Contrast Security, le TPR était de 100 % et le FPR de 0 % sur le dernier benchmark OWASP. En soustrayant le FPR du TPR, on obtient un score de 100 % pour Contrast Assess
Open Source et inter-fournisseur

Le Benchmark Project adhère au principe du « libre et ouvert » qui caractérise OWASP. Tout le monde peut télécharger et utiliser les ressources du projet, les passer en revue et contribuer au projet. La ressource principale du référentiel est une application contenant actuellement un peu moins de 3 000 cas d'analyse, répertoriés dans 11 catégories de vulnérabilités distinctes. Les tests incluent des vulnérabilités réelles ainsi que des scénarios ressemblant à des vulnérabilités, mais qui n'en sont pas, pour vérifier les réactions face aux faux positifs. En plus de l'application de test, le Benchmark Project inclut un outil qui normalise les activités de la solution de sécurité applicative testée puis calcule un score de précision.