Pourquoi votre entreprise gaspille des milliers d'heures sur les vulnérabilités logicielles
TL;DR Les éditeurs de logiciels qui construisent et exploitent des conteneurs consacrent chaque année des milliers d'heures, voire plus, à la gestion des vulnérabilités. Pourquoi ? Selon une dizaine d'entretiens avec des professionnels du logiciel, c'est parce que les entreprises de logiciels sont souvent submergées par des milliers de vulnérabilités logicielles connues (Common Vulnerabilities and Exposures, ou CVE), un résultat qui découle en partie du fait que certaines équipes logicielles sélectionnent des images sans tenir compte du nombre de vulnérabilités connues.
Si vous êtes un éditeur de logiciels qui construit et déploie des conteneurs, il est possible, voire probable selon nos recherches, qu'il existe des milliers de vulnérabilités connues uniques (CVE) dans vos produits logiciels. Il ne s'agit pas seulement d'un risque de sécurité. Il est également possible que le fardeau des vulnérabilités connues transforme la routine quotidienne des professionnels du logiciel de votre entreprise, qui se réjouissent de livrer de nouvelles fonctionnalités et de voir les clients en profiter, en un travail de longue haleine impliquant l'identification, le triage et la remédiation ("gestion") des vulnérabilités logicielles connues. Ce travail devient un trou noir pour la productivité, car les membres de l'équipe sont obligés de traquer les vulnérabilités à travers les langages logiciels, les applications et d'autres avenues qui nécessitent des connaissances spécialisées pour y remédier.
Pour mieux comprendre l'ampleur et les origines de ce problème, Chainguard Labs a interrogé une dizaine de professionnels du logiciel qui assurent la gestion des vulnérabilités au sein d'un éventail d'entreprises qui construisent ou déploient des conteneurs. Les principales conclusions sont les suivantes :
Sur la base de ces entretiens, il est probable que de nombreuses entreprises consacrent des milliers d'heures ou plus à la gestion des vulnérabilités chaque année. Cela représente le travail d'au moins deux personnes à temps plein par an.
Cette charge de travail résulte du fait qu'il existe des milliers de vulnérabilités uniques connues dans les conteneurs construits ou exploités par les éditeurs de logiciels modernes. Bien qu'il y ait de nombreuses raisons à cela, l'une des principales est que certaines équipes de développement de logiciels choisissent des images sans tenir compte du nombre de vulnérabilités connues, imposant par inadvertance des coûts à d'autres équipes au sein de leur entreprise.
Poursuivez votre lecture pour approfondir les conclusions et découvrir comment les images Chainguard, des images de conteneurs présentant peu ou pas de vulnérabilités connues, peuvent réduire considérablement le temps consacré à la gestion des vulnérabilités.
Combien de temps le personnel des entreprises qui construisent et expédient des logiciels basés sur des conteneurs consacre-t-il à la gestion des vulnérabilités ?
Les entretiens ont révélé qu'il est possible de faire des estimations brutes du temps total consacré par les professionnels du logiciel au triage et à la correction des vulnérabilités, du moins de manière approximative. Le personnel a souvent été en mesure d'estimer le temps consacré à ces activités par lui-même et par des collègues étroitement liés, puis de l'extrapoler.
Le tableau ci-dessous présente des estimations approximatives du temps total consacré directement par le personnel à la gestion des vulnérabilités. Il convient de noter que ces entretiens ont porté sur des estimations de la gestion quotidienne de la vulnérabilité et non sur la gestion de la vulnérabilité en période de crise, comme dans le cas de log4shell. Le tableau est organisé par ordre décroissant d'organisations estimant consacrer le plus d'heures à la gestion des vulnérabilités.
Que faut-il retenir de ce tableau ? Certaines entreprises consacrent des milliers d'heures ou plus à la gestion des vulnérabilités chaque année. Mais pas toutes.
Néanmoins, certaines entreprises et organisations consacrent énormément d'heures à la gestion des vulnérabilités. Une entreprise de transport et de logistique consacre chaque année l'équivalent de dix années-personnes à la gestion de la vulnérabilité. Une autre organisation, qui a des liens avec le gouvernement fédéral, consacre également une quantité extraordinaire de temps de travail à la gestion de la vulnérabilité.
Pourquoi les entreprises qui construisent et expédient des logiciels basés sur des conteneurs consacrent-elles autant de temps à la gestion de la vulnérabilité ?
Les résultats des entretiens ont mis en évidence un certain nombre de raisons. Cette liste décrit les deux facteurs les plus importants, selon ces entretiens, qui expliquent pourquoi certains éditeurs de logiciels consacrent autant de temps à la gestion des vulnérabilités dans les conteneurs.
Premièrement, les développeurs choisissent des images de base (et d'autres images) sans tenir compte du nombre de vulnérabilités logicielles connues. Dans le langage économique, cela crée des "externalités négatives" pour d'autres rôles dans une société de logiciels. Les développeurs font parfois (souvent, en fait, selon les ingénieurs de plateforme) peu de cas du nombre de vulnérabilités connues dans les images de base.
Deuxièmement, le temps de remédiation des CVE dépend de la facilité de mise à jour et de test des logiciels. Pour les organisations qui ont une faible couverture de test, qui nécessitent des tests manuels approfondis, des constructions lentes ou des dépendances très obsolètes, la charge de la correction des vulnérabilités, même via des changements de version mineurs d'une dépendance, est élevée. C'est ce que l'on appelle la vision "DevOps" de la gestion des vulnérabilités. Si votre entreprise a des difficultés en matière de DevOps (et c'est le cas de la majorité d'entre elles), la gestion des vulnérabilités est particulièrement pénible.
La meilleure gestion des vulnérabilités est moins de gestion des vulnérabilités
En bref, la gestion des vulnérabilités logicielles connues est devenue une charge de temps importante pour les entreprises de logiciels modernes qui construisent ou exploitent des conteneurs. Et cette situation semble résulter d'une "externalité négative" dans laquelle certaines équipes logicielles ne sont pas conscientes du fardeau des vulnérabilités logicielles connues qu'elles imposent à d'autres équipes.
Alors que certaines parties plaident pour une analyse et un enrichissement sophistiqués des vulnérabilités, il existe une autre option : livrer des logiciels avec zéro vulnérabilité connue. C'est ce que propose Chainguard Images. Il s'agit d'images dont les vulnérabilités connues sont faibles, voire nulles, grâce à Wolfi. En réduisant radicalement les vulnérabilités dans les conteneurs d'une entreprise, il est possible de récupérer des milliers d'heures autrement allouées à la gestion des vulnérabilités.
Lisez le rapport complet pour en savoir plus sur la façon dont les entreprises abordent la gestion des vulnérabilités, ou contactez notre équipe pour découvrir comment Chainguard Images peut vous aider à gagner du temps et à augmenter votre productivité.
Share this article
Articles connexes
- research
Engineers Want to Build, Not Maintain: Key Findings From Our 2026 Engineering Reality Report
Dustin Kirkland, SVP of Engineering
- research
The Hidden Costs of CVEs — And the Value You’re Leaving on the Table
Ed Sawma, VP of Product Marketing
- research
Mitigating Malware in the Python Ecosystem with Chainguard Libraries
Aaditya Jain, Senior Product Marketing Manager
- research
Panic! At The Distro: A Study of Malware Prevention in Linux Distributions
Duc-Ly Vu, Trevor Dunlap, Paul Gibert, John Speed Meyers, and Santiago Torres-Arias
- research
Why AI developers are grumpy about containers
John Speed Meyers, Head of Chainguard Labs, and Dan Fernandez, Staff Product Manager
- research
FuzzSlice: Separating real CVEs from fakes through fuzzing
Aniruddhan Murali, Chainguard Labs Research Intern