Alain:  » Je pense que nous sommes toujours déçus lorsque nous faisons les enquêtes que nous découvrons, vous savez, au-delà des paroles en l’air qui sont versées à la sécurité, ce qui se passe réellement sous les couvertures, et nous souhaitons et espérons toujours pour plus. Cela dit, je ne veux pas être pessimiste. Je suis d’avis à moitié plein que nous faisons mieux et plus de sécurité maintenant que nous ne l’avons probablement jamais fait.

Étienne: « Sur la question de, les organisations ont-elles une politique de sécurité open source. Ce que nous avons trouvé, c’est que 49 % ont dit qu’ils en avaient un, c’est bien. 34 % ne l’ont pas fait. Et 17 % ont dit qu’ils ne savaient pas.

Mat: « Dans les grandes entreprises… vous avez ce genre de culture ancrée depuis longtemps en termes de sécurité et de consommation de logiciels. . . le problème le plus difficile en matière de sécurité n’est pas du tout lié à la technologie. C’est toujours une question de personnes et de culture. . . Nous avons deux sortes de choses qui se passent dans une tempête presque parfaite. En même temps, nous avons cette augmentation massive des attaques de la chaîne d’approvisionnement contre l’open source, parce que, vous savez, c’est une victime de son propre succès. Et les attaquants ont réalisé qu’il est beaucoup plus facile d’entrer dans la chaîne d’approvisionnement que de trouver des jours zéro dans les applications des utilisateurs finaux. Donc, vous avez ce qui se passe, où tout d’un coup, les gens vont, eh bien, tout ce que nous faisons est basé sur l’open source, comme, qu’est-ce que je fais à propos de la sécurité ? Et puis, comme Steve l’a souligné, vous avez ceci, cette transformation massive et continue de la façon dont nous développons des logiciels, vous savez, cette vitesse ultra-rapide.

Étienne: « Nous avons demandé. . . comment comptez-vous améliorer la situation?. . . En tête de liste, les organisations recherchent des outils plus intelligents. . . C’était à 59 %. . . Juste derrière cela, à 52 %, il y avait un fort désir de comprendre et essentiellement de codifier les meilleures pratiques pour savoir comment faire du développement logiciel sécurisé »

Mat: « Le changement de culture est une si grande partie de la façon dont vous effectuez cette transition de votre sorte de vieille école, la sécurité en tant que fonction de gardien, à cette chose, où nous la mettons aux développeurs, parce que les développeurs sont ceux qui, vous savez, vous le réparez au niveau du globe oculaire du développeur avant qu’il ne soit proche de la production. C’est le moins cher.

Étienne: « Tu sais, j’ai fait un rapport l’année dernière sur les SBOM. Et je dois vous dire que cela entre en ligne de compte. . . nous avons fait quelques statistiques dans cette enquête sur les dépendances, vous savez, à la fois directes et transitives, et avons trouvé, vraiment, une sorte de faible niveau de sécurité forte et forte autour des organisations comprenant la posture de sécurité de toutes ces différentes dépendances et dépendances de dépendances. Des chiffres vraiment bas là-bas. Les SBOM iraient si loin pour aider à régler tout cela.

« Ils vont vous donner des connaissances sur les métadonnées, ça va vous donner une facilité d’utilisation, donc vous savez que vous êtes autorisé à utiliser les choses, et ça va savoir si c’était bon, si vous faites confiance non seulement à ce que vous ‘recherche pour les métadonnées n’est pas falsifiée, mais comprend également assez clairement, vous savez, ce qui a été corrigé, ce qui n’a pas été corrigé du point de vue de la vulnérabilité.

Mat: « Je pense que lorsque les gens pensent aux politiques, ils pensent, Oh, cela doit être comme un document de 100 pages, vous savez, alors cela devient écrasant, mais vraiment une politique peut être une ligne.”