Flux RSS
Architecture logicielle
2077 documents trouvés, affichage des résultats 261 à 270.
| < Les 10 documents précédents | Les 10 documents suivants > |
(28/04/2011 16:55:14)
Selon AppSec, la notation d'Oracle sur ses failles minimise le standard CVSS
« Oracle minimise le risque de ses vulnérabilités, » a expliqué Alex Rothacker, directeur de la recherche sur la sécurité chez AppSec. « En conséquence, les entreprises qui se fient aux taux de vulnérabilité communiqués par Oracle pour programmer les mises à jour système peuvent être amenées à retarder de manière inappropriée l'application de certains correctifs critiques, » a-t-il expliqué. Tous les trois mois, Oracle livre des patchs, seuls ou en bundle, destinés à corriger des vulnérabilités récemment découvertes dans ses produits logiciels. L'éditeur note la gravité des vulnérabilités selon la norme Common Vulnerability Scoring System (CVSS) en cours dans l'industrie.
La préoccupation essentielle d'AppSec tourne autour de la notation unique ajoutée par Oracle dans sa grille CVSS, et nommée Partial +. Normalement, l'échelle du CVSS s'échelonne entre 1 et 10 pour rendre compte de manière globale de la gravité d'une vulnérabilité. Le score correspond lui-même à la moyenne d'un ensemble de notes qui permettent d'évaluer différents aspects de la gravité d'une vulnérabilité. Dans ces sous-évaluations, la notation du CVSS prend notamment en compte les dégâts que pourraient causer des logiciels malveillants du fait de cette vulnérabilité. Si tel logiciel malveillant, appelé « exploit informatique», ne peut endommager que l'application attaquée, alors il peut en général être affecté d'une note Partielle. Mais si l'exploit peut commettre des dommages sur le système sous-jacent, alors la vulnérabilité devrait bénéficier d'une note Complète, laquelle rend compte de davantage de facteurs de risque.
Une notation détournée
« Dans sa notation, Oracle n'utilise presque jamais l'échelle Complète, » a déclaré Alex Rothacker. « La plupart du temps, l'éditeur utilise sa propre notation Partial +, ce qui, dans les évaluations d'Oracle, équivaut à une note Partielle, » a-t-il ajouté. Dans certains cas, Oracle utilise la notation Partial + pour une vulnérabilité de la base de données, qui, selon le chercheur, équivaut à une vulnérabilité au niveau du système. « En réalité, si la base de données d'Oracle se trouve installée sur un serveur, vous n'exécuterez pas SharePoint sur le même serveur. Vous disposez d'un serveur de base de données dédié, » explique encore Alex Rothacker. Oracle reconnait que certains utilisateurs peuvent vouloir recalculer les notes CVSS si un logiciel de leur environnement récolte un Partial +. Dans un récent message publié sur un blog, Eric Maurice, patron sécurité d'Oracle, a déclaré que l'éditeur reconnaissait que certaines entreprises choisissaient de « gonfler discrètement le score de base quand celui-ci était affecté d'une note Partial+ par Oracle. » Les responsables d'Oracle n'ont pas voulu faire de commentaires à ce sujet.
Des évaluations indispensables aux entreprises
De nombreuses entreprises se fient aux évaluations CVSS afin de décider quels correctifs appliquer en priorité. En entreprise, l'application d'un patch sur un logiciel donné doit être accompagné de nombreux tests pour s'assurer que le logiciel fonctionne correctement dans son environnement une fois la mise à jour effectuée. « Il est très difficile pour une entreprise de patcher tous ses systèmes. Elle donne priorité à tel ou tel correctif, selon le niveau de gravité. Elle appliquera les patchs corrigeant les vulnérabilités vraiment les plus critiques en premier, » a encore déclaré Alex Rothacker. Selon lui, un Partial+ peut avoir un certain impact, dans le cas par exemple de deux vulnérabilités presque identiques, identifiées dans la pile réseau de la base de données d'Oracle par un chercheur de l'AppSec. A l'une des vulnérabilités, « Oracle a attribué une note de 5 dans l'échelle CVSS et pour l'autre, une note plus sévère de 7,8, toujours selon l'échelle CVSS, alors que les deux vulnérabilités différent l'une de l'autre d'un seul octet, » a expliqué le chercheur en sécurité Esteban Martinez Fayo, dans un blog. La principale différence entre les deux notes s'explique par le fait que celle de rang inférieur en terme de gravité a reçu une note Partial + tandis que l'autre a reçu une note Complète.
Crédit photo : D.R.
[[page]]
Bien sûr, AppSec a intérêt à ce que les responsables de la sécurité réévaluent les avis publiés par Oracle. La société propose un logiciel d'audit et de conformité pour vérifier la sécurité des bases de données, et propose même sa propre notation pour requalifier la gravité des vulnérabilités de la base de données d'Oracle. Mais la société connait parfaitement les vulnérabilités d'Oracle : ses chercheurs ont trouvé quatre des six vulnérabilités de la base de données d'Oracle, corrigées par le dernier patch de la dernière mise à jour.
D'autres analystes s'inquiètent des pratiques d'Oracle
AppSec n'est pas la seule à s'interroger sur la notation unique Partial+ établie par Oracle. « En créant la note Partial +, Oracle a en effet créé son propre système de mesure, » a déclaré Adrian Lane, directeur de la technologie et analyste pour la société de recherche en sécurité Securosis. L'analyste, qui a également abordé la question dans un post récent, fait remarquer que le CVSS ne fournit peut-être qu'une estimation de la gravité de la vulnérabilité, mais il sert encore de référence aux administrateurs. « En changeant la base d'évaluation du CVSS, Oracle a porté atteinte à l'unité de mesure standard, » a-t-il déclaré. Adrian Lane estime, comme Alex Rothacker, qu'une vulnérabilité qui affecte toutes les tables d'une base de données doit être considérée comme une vulnérabilité au niveau du système. « Si la vulnérabilité affecte seulement quelques tables, alors elle devrait être considérée comme une vulnérabilité partielle, mais si elle touche la base de données toute entière, un exploit pourrait perturber toute la plateforme, et devrait de ce fait être qualifié par une note Complète, » estime-t-il également.
(...)(28/04/2011 10:49:18)Développeurs, sur Facebook, n'utilisez plus «Share» mais «Like» !
La deuxième édition française du Facebook Developer Garage s'est tenue mardi soir dans les locaux de Microsoft, animée par Julien Cordorniou, un ancien de la maison, désormais directeur des partenariats pour Facebook en France et au Benelux. En un mois, l'appétence des développeurs s'est confirmée. A la Cantine, en mars, 420 personnes avaient manifesté leur intérêt pour l'invitation. Elles ont été 620 à le faire cette fois-ci, selon les chiffres communiqués. L'exercice doit être renouvelé chaque mois, promet l'équipe du réseau social.
Le but des Developer Garage, c'est d'expliquer aux développeurs comment ils peuvent tirer parti de Facebook, rappelle Julien Codorniou. Il souligne que l'un des paradoxes de cette plateforme où se retrouvent plus de 600 millions de personnes, pour beaucoup quotidiennement, c'est d'offrir des possibilités de distribution extraordinaires et un fort potentiel de monétisation (cf ce qu'en fait Zynga dans le domaine du social gaming), mais de n'être « pas facile à maîtriser ». Jusqu'à présent, il n'y avait personne en Europe pour donner le mode d'emploi sur ces questions. Facebook y remédie. Outre la constitution d'équipes internes pour s'adresser aux développeurs, la société certifie des partenaires pour l'épauler dans cette mission (en France, KRDS, Sociabliz, 909C...).
Facebook, un apporteur de trafic
Mardi, l'antenne française du réseau social a d'abord fait le point sur les nouveautés (le bouton Send, Facebook Deals...), avant de revenir sur les moyens qui, bien utilisés, permettront aux sites web (e-marchands, médias, jeux...) de booster le trafic que leur envoie la plateforme. Comment, par exemple, bien utiliser le bouton « Like » pour aller chercher « les amis des gens qui aiment vos produits et vos sites web », comment les tagger correctement, au bon endroit sur la page web. « C'est important de bien le comprendre », avertit Julien Codorniou en engageant à se servir désormais de ce bouton en lieu et place du bouton « Share », moins efficace pour récupérer des visiteurs sur les sites.
Pour tous les professionnels misant sur la fréquentation de leurs pages web pour développer leur activité, Facebook doit être vu comme un apporteur de trafic. C'est sur ce message essentiel que s'est principalement déclinée la soirée « Garage ». Parmi les derniers outils contribuant à ce but figure le bouton « Send », annoncé en début de semaine. Si le bouton Like sert à communiquer une information à tous ses amis sur son fil d'actualité Facebook (« news feed »), Send va au contraire l'envoyer à un nombre restreint d'utilisateurs : deux ou trois amis, un groupe. Il se met en oeuvre de la même façon. « C'est une fonctionnalité qui nous a été suggérée par les sites d'e-commerce, notamment dans la vente privée, pour prévenir d'un bon plan exclusif que l'on n'a pas envie de partager avec tout le monde, explique Julien Codorniou. Cette fonction, qui intéresse aussi les acteurs du « dating » et des médias, peut être utilisée pour « bookmarquer » des sites web. En France, certains partenaires l'ont déjà adopté, par exemple le site du Monde.fr qui l'a installé en moins de trois jours, ou encore LePost et Web.tv.
Accroître l'effet viral des opérations
Déjà évoquée mais officialisée cette semaine, Facebook Deals se présente un peu comme un concurrent de Groupon (site d'achats groupés), à la différence près qu'il s'agit aussi d'une plateforme et que les marchands pourront y pousser leurs propres deals à travers Facebook. « Il faudra faire un opt-in, par ville, précise Julien Codorniou. Aujourd'hui, c'est disponible dans cinq villes aux Etats-Unis et cela va arriver en France avant la fin de l'année. » Par rapport aux acteurs du coupening qui envoient le même e-mail à chacun, l'objectif est de proposer des « deals sociaux » assortis de réductions lorsque l'on se met à plusieurs. « Le grand intérêt de la plateforme, c'est la distribution, insiste le directeur des partenariats de Facebook France. L'information apparaîtra dans les fils d'actualité des personnes qui feront l'achat et il sera possible de payer avec des Credits. « C'est un peu la version super sociale de cette nouvelle vague dans l'industrie du coupening. Il y a déjà beaucoup de partenaires qui sont intéressés ». Il y a peu, le réseau avait également lancé les « check-in deals ». Ces derniers permettent, à proximité d'une boutique jouant le jeu, de se signaler à partir de son portable (sous Windows Phone 7, Android ou iPhone) pour bénéficier d'une promotion, dans l'instant ou plus tard, en cumulant les check-in deals, seul ou avec des amis. Maintenant, cela sert aussi à prévenir que l'on participe à un événement (un concert, une soirée, une vente flash sur site de vente privée...). « Cela a été demandé par nos partenaires, mentionne encore Julien Codorniou. C'est encore une manière pour nous d'accroître l'effet viral de certaines opérations. »
Un bouton Like sur tous les produits du site Wallmart
Il y a un mois, le Social plug-in Facebook Comments a été mis à jour. Par son intermédiaire, un membre du réseau social utilisera son identité Facebook lorsqu'il fait un commentaire sur un site. A la manière d'un Like. Cela augmente la visibilité du commentaire. « Encore une fois, c'est une manière d'aller chercher du trafic auprès des amis de ceux qui aiment le contenu qui se trouve sur vos sites », explique le directeur des partenariats.
Illustration : Julien Codorniou, directeur des développements partenaires chez Facebook France et Benelux (à droite sur la photo) interroge Alban Peltier, CEO de la société de développement de jeux Antvoice (à gauche) lors du deuxième Facebook Developer Garage, le 26 avril 2011 à Issy-les-Moulineaux.[[page]]Parmi les exemples récents de mises en oeuvre des outils de Facebook, la chaîne de distribution américaine Wallmart a placé le bouton Like sur tous les produits de son site web. « Cela va rajouter des milliers d'objets dans l'Open Graph », souligne Julien Codorniou. En France, il cite « 60 secondes », une série développée sur Arte, uniquement sur le réseau social. La chaîne de télévision mise sur l'effet viral en livrant un contenu exclusif pour toucher les plus de 20 millions de Français présents sur Facebook.
Enfin, pour illustrer l'intérêt d'insérer des Social plug-in sur un site, Julien Codorniou rappelle que le module de reporting, Insights, permet aux webmasters de voir, à partir des actions sociales placées sur leur site (boutons Like ou Share), combien de fois l'information s'imprime sur Facebook. Il donne l'exemple d'un site web, sans le citer. A chaque fois qu'un internaute actionne un bouton, le site récolte des visites. « Le mois dernier, 518 Share ont apporté 23 000 visites, soit environ 46 nouveaux visiteurs pour chaque Share. C'est ça la logique des Social plug-in et c'est pour cela que nous pensons que Facebook va vraiment se positionner comme un apporteur de trafic, gratuit avec la plateforme ou payant. C'est ce que nous essayons d'expliquer aux grands partenaires : vous allez faire venir sur vos sites du trafic qualifié parce qu'il vient à la suite d'une recommandation d'un ami. Et il s'agit généralement d'un trafic plus engagé que celui qui vient des algorithmes », conclut Julien Codorniou.
Les vertus du cloud public
Au cours de ce rendez-vous consacré aux développeurs, Facebook a également abordé la question de l'hébergement des sites sur les clouds publics « puisqu'il y a des gens dans la salle qui ont l'ambition de servir des millions de clients », a rappelé Julien Codorniou. L'événement se déroulant dans les locaux de Microsoft, ce dernier est venu parler de sa plateforme Azure. Néanmoins, l'interlocuteur choisi, Pierre Couzy, architecte en SI, s'est concentré sur des informations techniques sans s'égarer dans des digressions marketing. Il a dessiné l'anatomie d'une application cloud, un environnement où tout doit être redondant. A ses côtés, Laurent Letourmy, directeur technique de Weka Entertainment, spécialisé dans les jeux en ligne (1,7 million d'utilisateurs par mois dont les deux tiers jouent quotidiennement), passé sur le cloud d'Amazon en 2008. « Nous avons basculé l'application en deux heures et sommes passés en quelques semaines de milliers d'utilisateurs par jour à plusieurs millions. Grâce à Amazon, nous avons pu provisionner de la capacité. »
Plus d'un million d'euros dès la première année
A leur suite, La Redoute a témoigné de son expérience sur Facebook depuis août dernier où le groupe avait simplement 60 000 fans sur le réseau « et pas vraiment d'équipe », explique sa community manager. Avec l'aide d'une agence, la société a testé des opérations pour recruter d'autres fans en essayant de limiter ce coût d'acquisition. « Nous essayons d'être au-dessous de 1,20 euro ». Sur une opération particulière, le groupe a recruté 40 000 fans en 10 jours.
Enfin, le Facebook Developer Garage a donné la parole à trois sociétés de jeux en ligne, Kobojo, MakeMeReach et Antvoice, toutes jeunes start-up et qui pourtant, s'agissant des deux premières, ont atteint ou dépassé 1,5 million d'euros de chiffre d'affaires dès leur première année d'existence. MakeMeReach prévoit entre 6 et 8 M€ la deuxième année. Quant à Antvoice, qui n'existe que depuis trois mois, elle s'attend déjà à passer le cap du million d'euros de chiffre d'affaires sur son premier exercice. Trois sociétés dont les applications de jeux tirent parti de l'interaction sociale et qui misent sur l'effet viral pour se développer. (...)
Les développeurs de plus en plus réticents vis-à-vis d'Android
Au cours des 12 derniers mois, le Mobile Developer Report que publient ensemble chaque trimestre Appcelerator et IDC, s'est intéressé à l'attrait que portent les développeurs pour Android, en particulier pour voir si l'écart avec iOS d'Apple, leader en la matière, se réduisait. L'étude montre que, sur 2700 personnes interrogées en avril 2011, l'intérêt des développeurs pour Android recule pour la première fois, passant de 87% à 85%, derrière l'iPhone et l'iPad qui récoltent respectivement 91% et 86%. Plus remarquable encore, l'intérêt pour les tablettes sous Android a baissé de trois points à 71%.
Environ deux tiers des personnes interrogées reprochent principalement au système mobile de Google d'être sujet à la fragmentation, et 30% mettent en cause les faiblesses du système Android pour tablettes, un marché encore quasiment entièrement dominé par Apple. Le modèle ouvert d'Android est également l'objet de critiques, 28% des développeurs faisant part de leurs préoccupations de voir se multiplier les magasins d'applications en ligne pour proposer des Android Apps.
Windows Phone et BlackBerry IO encore moins convaincants
La seule bonne nouvelle pour Google, c'est que, mis à par Apple, les développeurs semblent encore moins convaincus par les systèmes d'exploitation BlackBerry OS et Windows Phone 7, pour lesquels, seuls 30% des développeurs interrogés disent manifester un intérêt. Microsoft pourra au moins s'enorgueillir du fait que sa plate-forme Windows Phone 7, totalement refondue, se trouve maintenant à la troisième place, avec 29%, devant un maigre 27% pour RIM qui continue à régresser.
Le positionnement modeste d'Android n'est peut-être pas surprenant, après les récentes mises en garde concernant la sécurité et la préoccupation manifestée publiquement par Google au sujet de la fragmentation de son OS mis entre les mains des fabricants de matériel et les fournisseurs de services mobiles. L'entreprise a même énervé les développeurs ce mois-ci, en leur retirant temporairement le code source d' Android 3.0 - son premier OS pour tablette connu nom de code Honeycomb - sauf à une poignée de partenaires importants, avec pour motif de limiter la fragmentation. Et la date de remise à disponibilité d'Android 3.0 aux petits développeurs n'a toujours pas été fixée.
Un temps de travail limité
Un facteur important que devraient considérer également tous les vendeurs de plates-formes, c'est la surcharge de travail à laquelle doit faire face le développeur. « Le plus grand problème de Microsoft avec les développeurs relève simplement du temps qu'ils sont en mesure de consacrer à chaque OS. Ce n'est pas pour rien que 46% d'entre eux disent « J'ai déjà beaucoup à faire avec iOS et / ou Android, » indiquent les auteurs du rapport. Dans ce contexte, le problème de la fragmentation d'Android amplifie probablement l'angoisse des développeurs quant à la divergence des compétences nécessaires pour développer des logiciels pour plusieurs plates-formes, d'autant qu'elles présentent dans leur design un nombre de différences subtiles qui ne cesse d'augmenter.
(...)(26/04/2011 11:49:10)Google I/O 2011 : Les développeurs dans les starting-blocks
59 minutes, voilà le temps qu'il a fallu pour que s'écoulent tous les billets de l'édition 2011 de la conférence Google I/O, les 10 et 11 mai prochains, où se réunissent les développeurs qu'intéressent les projets du géant de la recherche en ligne. Google a donc décidé d'ouvrir le champ et de rendre l'événement accessible à travers le monde.
A cette fin, l'éditeur de Mountain View organisera des événements baptisés I/O Extended un peu partout dans le monde et ouvrira I/O Live, un site où les développeurs pourront assister à la conférence en direct, pourvu qu'une connexion internet soit disponible. "I/O Live retransmettra sur notre site toute l'ébullition de l'événement au Moscone Center, où auront lieu les conférences, présentations et démonstrations", a déclaré le géant du web dans un billet annonçant le lancement du site. Google I/O Live diffusera en streaming des vidéos des deux salles principales au cours des deux jours du colloque. Aux conférences s'ajouteront les séances développeurs pour Chrome et Android.
Suivre en direct la manifestation
"Nous tacherons de publier sous 24 heures les enregistrements vidéo des sessions qui ne seront pas diffusées en live", a indiqué Google. Les sessions en streaming et les vidéos complémentaires seront sous-titrées et traduites en autant de langues que Google Translate le permet.
Pour suivre l'événement en direct, il suffira de se connecter sur www.google.com/events/io/2011/io2011.html les 10 et 11 mai de 9h00 à 18h00 (heure de Los Angeles). Pour regarder la conférence en public, entouré d'autres développeurs, Google organise des projections Google I/O Extended gratuites un peu partout dans le monde. Le site https://sites.google.com/site/2011ioextended recense les projections dans les villes. Attention, le nombre de places est limité.
Un fil Twitter, @googleio, permettra également de suivre les principales informations. enfin le site www.google.com/events/io/2011 rassemble le programme des sessions.
AlloCine renforce sa performance applicative
Allociné est un des sites les plus visités en France avec 8,2 millions de visiteurs uniques mensuels visitant 230 millions de pages vues/mois. Présent dans huit pays (dont la Russie, la Chine et la Turquie), le groupe sert 34 millions d'internautes par mois. Par ailleurs, 2,5 millions d'applications mobiles ont été téléchargées. Ses plates-formes utilisent des javascripts exécutés dans le navigateur de l'internaute, des développements .Net et de multiples bases de données. La performance de l'exécution des applicatifs est un des éléments clés de la qualité de service du site et, par conséquent, de son chiffre d'affaires.
Pour tracer cette performance de bout en bout en production, Allociné a choisi la solution de DynaTrace Software. La même solution a ensuite été déployée en pré-production et en développement afin de vérifier avant mise en fonctionnement réel la qualité du code. Les développeurs bénéficient ainsi d'un même environnement pour gérer la performance applicative sur tout le cycle de vie des applications.
Une supervision continue
La supervision est désormais continue et les équipes techniques peuvent réagir rapidement en cas de soucis en production. En pré-production, l'outil vient en complément de ceux de test de montée en charge.
En automatisant certains contrôles, notamment en réduisant le nombre d'itérations par des facteurs de 3 à 4, les développeurs peuvent se focaliser sur les nouvelles fonctionnalités au lieu de consacrer du temps à optimiser l'existant. Les problèmes sont remontés avec des informations contextuelles et techniques qui permettent de redescendre aisément jusqu'au code source. La réactivité des équipes techniques en est ainsi nettement améliorée.
Le coût du projet n'a pas été révélé.
Les logiciels d'infrastructures et middleware en croissance en 2010 selon Gartner
Le marché de l'AIM affiche une belle progression, c'est un marché stratégique qui englobe 12 segments différents comme la SOA (architecture orientée services), ou le BPM (gestion des processus métier). Ce marché progresse, car : « les entreprises sont moins obnubilées par la maîtrise des coûts et s'ouvrent à la modernisation de l'infrastructure » note Fabrizio Biscotti, directeur de recherche chez Gartner.
Sur le plan technologique, les segments les plus dynamiques comprennent les technologies de gouvernance SOA, les serveurs d'applications, les produits et appareils portail. L'Open Source est également de plus en plus une partie intégrante des plans de déploiement AIM avec un accent mis sur les serveurs d'application Open Source, les bus de services d'entreprise et quelques autres fonctionnalités AIM.
IBM loin devant
Ce marché s'est concentré en 2010, par des acquisitions et par le poids des cinq principaux acteurs qui représentent 61% du marché mondial. IBM conserve largement sa 1ère place avec 32,6% de parts de marché et 14,4% de progression. Oracle (avec BEA) est loin derrière à 17%, en hausse de 12,5%. Troisième Microsoft, avec 5% des parts et 13,9% de hausse. Suit Software AG, quatrième, qui affiche 3,4% de parts de marché et 27,3% de progression. Tibco arrive cinquième, à 2,8% de parts de marché, en progrès de 20,1%.
« Nous continuons à observer un bouillonnement créatif où, d'une part, les grands fournisseurs continuent à être consolidés, et, d'autre part, plusieurs acteurs en place et à venir vont ouvrir de nouveaux marchés tels que la messagerie à faible latence (LLM), la gestion de transfert de fichiers ( MFT), et l'analyse des processus métier (BPA) », a déclaré M. Biscotti. « En outre, il existe une activité encore embryonnaire, mais dynamique, autour du cloud avec le PaaS. »
Google dévoile son service cloud Earth Builder
Google ouvre son infrastructure de cartes numériques aux entreprises qui pourront l'utiliser pour stocker leurs données géospatiales. Baptisé Google Earth Builder, ce service dans le cloud a été dévoilé hier, à l'occasion de la conférence Where 2.0 (19-21 avril, San Francisco). Il devrait être commercialisé au cours du troisième trimestre 2011. Google fournira ultérieurement des informations sur sa tarification.
Après avoir mis leurs données cartographiques dans le cloud de Google, les entreprises pourront les mettre à la disposition de leurs employés, partenaires ou clients grâce à des outils tels que le service en ligne Google Maps, des API ou encore l'application pour poste de travail Google Earth.
Traiter des masses de données ou juste quelques cartes
« Google Earth Builder est une plateforme de cartographie dans le cloud pour les entreprises et les administrations qui traitent des données géographiques, qu'il s'agisse de centaines de téraoctets ou de seulement quelques cartes de base », a indiqué Dylan Lorimer, chef de produit Earth et Maps pour l'entreprise. « Elles peuvent télécharger ce contenu dans le cloud, accéder à des fonctions pour traiter ces données, s'en servir pour construire des couches Maps et Earth, puis publier celles-ci en toute sécurité pour les mettre à disposition de leurs utilisateurs, a précisé le responsable produit. Ces derniers accèderont à ces couches à l'aide des outils qu'ils connaissent, comme Google Maps et Earth.
En s'appuyant sur Google Earth Builder, les clients économiseront à la fois sur le stockage, l'allocation des ressources serveur et sur la maintenance, qui peuvent prendre une importance considérable et s'avérer complexe lorsqu'il s'agit de gérer des données cartographiques.
(...)
Les applications métiers et les logiciels de sécurité ne sont pas si sûrs selon Veracode
En effet, selon le rapport sur l'état des logiciels de sécurité établi par Veracode après évaluation de 4 835 applications sur une période de 18 mois, 58 % de toutes les applications soumises à l'éditeur ont été jugées de « qualité inacceptable sur le plan de la sécurité. » Plus étonnant encore, 72 % des logiciels de sécurité se voient aussi qualifiés de la sorte (il s'agit du deuxième plus mauvais score après les logiciels de support client qui atteignent 82%) . « De nombreux dirigeants croient qu'en dépensant 500 000 dollars pour un logiciel de sécurité vendu par un éditeur important, ils disposent d'un produit intrinsèquement sûr, » dit Gunnar Peterson, architecte en sécurité logicielle et CTO de la société de conseil en informatique Arctec Group. « C'est absolument faux, et je pense que de nombreux cadres dirigeants l'ignorent, » ajoute-t-il.
Apprécier la qualité du développement des logiciels est une affaire compliquée, et certains analystes pensent que les données faisant état de niveaux bruts de vulnérabilité ne permettent pas de prendre en compte les efforts réalisés par les éditeurs. « Il serait intéressant de mettre ces données en corrélation avec la taille et la complexité des applications évaluées, » estime Pete Lindstrom, directeur de recherche chez Spire Security. Il n'en reste pas moins que Veracode pointe du doigt la prise de conscience des développeurs pour corriger certaines vulnérabilités. Les exemples de RSA, Comodo montrent que des attaques traditionnelles comme des injections SQL peuvent avoir raison des logiciels de sécurité les plus élaborés.
Des standards et des corrections
Le rapport constate également que les secteurs de la finance et du logiciel requièrent un mode de vérification plus formel, voire inclut un contrôle de la qualité des logiciels des fournisseurs tiers. Si l'on combine ces deux critères, on voit que 75% des entreprises demandant l'évaluation de la qualité des logiciels de leurs fournisseurs sont concernées. « Nous voyons également une augmentation de la demande de la part de l'industrie aérospatiale et de celle de la défense, » explique Sam King, vice-président du marketing produit chez Veracode. « Ces industries commencent à exiger, pour leurs logiciels, un niveau de sécurité équivalent à celui qu'elles attendent de leur chaîne d'approvisionnement physique», explique-t-il.
D'autres résultats font apparaître que, pour ce qui est de la conformité avec le « Payment Card Industry Data Security Standard », les entreprises ont beaucoup à faire. Cette norme de sécurité exige que des applications personnalisées, impliquées dans le traitement, le stockage ou la transmission de données relatives aux cartes de crédit, soient testées pour repérer 10 défauts logiciels déterminés par l'Open Web Application Security Project (OWASP), également connu sous le nom de OWASP Top 10. « Nous avons constaté que 8 applications sur 10 ne passeraient pas ce palmarés et seraient recalées à un audit, » explique Chris Eng, directeur senior de la recherche sur la sécurité chez Veracode.
Heureusement, Veracode donne aussi quelques encouragements aux entreprises qui souhaitent améliorer la sécurité de leurs applications. Selon le fournisseur de service, la correction des défauts ne devrait pas prendre beaucoup de temps. D'ailleurs, parmi les entreprises qui ont soumis à nouveau leurs applications après avoir pris des mesures pour en corriger les défauts, 80 % ont atteint, au bout d'un mois, ce que Veracode considèrerait comme un niveau de qualité acceptable.
| < Les 10 documents précédents | Les 10 documents suivants > |