French cybersecurity agency ANSSI has assessed the state of DevSecOps and found that academic and industrial research provides only limited guidance, with most work focusing on isolated technical details—such as SBOM enrichment, software supply chain analysis, or CI/CD automation—while holistic models are rarely explored. Despite mounting regulatory pressure, the field still relies heavily on descriptive approaches with few real-world tests, yielding fragmented insights rather than a unified secure software development lifecycle (S-SDLC) framework.

The agency’s analysis, however, is based on a non-exhaustive review of just eight publications, some of which were not peer-reviewed. ANSSI acknowledges this limitation, citing “time constraints of the study” and cautioning that its selection “remains subject to caution and only partially reflects the state of the art in DevSecOps.” The reviewed papers range from a European Cyber Security Organisation technical paper on supply chain security to an OpenSSF white paper on AI/ML pipeline security, alongside empirical studies from Portuguese, Saudi, Egyptian, Canadian, and American institutions.

Beyond research, ANSSI surveyed the market across twelve application security solution categories—including SAST, DAST, IAST, RASP, SCA, IaC scanners, artifact scanners, secret detection and management, threat modelling, artifact signing, ASPM, and DevSecOps training platforms. It conducted an in-depth examination of three categories (SCA/SBOM, ASPM, and secret management/scanning) through interviews with thirteen providers (six of them European) and a questionnaire administered to nine organizations based on the OWASP DevSecOps maturity model.

The market shows a clear trend toward platformization, with ten of the thirteen providers moving in that direction. Yet integration often remains incomplete: for instance, workflows, data sources, and user journeys for SBOM management and vulnerability detection frequently stay separate. Artificial intelligence is spreading across tooling, but maturity varies widely. ANSSI judges current AI capabilities insufficient to meaningfully reduce false positives—a persistent issue especially with SAST—or to improve post-analysis prioritization. While organizations build internal solutions, progress is slow and results are limited. Many also expect vendors to shift from general-purpose large language models to specialized security models.

Remediation remains particularly challenging, notably when dealing with secret scanners and SCA findings that may require significant code restructuring. Compounding these difficulties, regulatory frameworks are “formulated at a high level,” offering little operational guidance and making it hard for teams to translate requirements into concrete practices.

En matière de DevSecOps, la recherche académique et industrielle a une influence limitée.

Ainsi en juge l’ANSSI. La plupart des papiers qu’elle a analysés se concentrent sur des aspects techniques isolés : enrichissement des SBOM, analyse de la supply chain logicielle, automatisation CI/CD… Les modèles holistiques sont rarement explorés.

Malgré la pression réglementaire, le domaine repose encore sur des approches descriptives, avec peu de tests en conditions réelles, poursuit l’agence. Cela conduit à des éclairages fragmentés plutôt qu’à un cadre S-SDLC unifié.

On aura noté que l’analyse n’est pas exhaustive : elle a englobé 8 publications. Dont certaines non évaluées par les pairs. L’ANSSI le reconnaît et l’impute aux « contraintes temporelles de l’étude ». Sa sélection « demeure sujette à caution et ne reflète que partiellement l’état de l’art en DevSecOps », ajoute-t-elle.

Publication

Origine

Technical Paper: Supply Chain Security

ESCO (European Cyber Security Organisation)

An Empirical Study of DevSecOps Focused on Continuous Security Testing

Trois instituts portugais (INOV, INSEC-ID, IST)

A Reality Check on SBOM-based Vulnerability Management: An Empirical Study and A Path Forward

Université des sciences et technologies du roi Abdallah (Arabie saoudite)

Effective Integration of Database Security Tools into SDLC Phases: A Structured Framework

Trois universités égyptiennes (du Nil, de Banha et de Mansoura)

Integrating DAST in Kanban and CI/CD; A Real-World Security Case Study

Virginia Tech

A Practical Guide for Building Robust AI/ML Pipeline Security

OpenSSF (livre blanc)

DevSecMLOps: A Security Framework for Machine Learning

Un ingénieur de Dish Network (opérateur TV/télécoms américain)

Software security in practice: knowledge and motivation

Université Carleton (Canada)

L’IA ne l’a pas encore emporté sur les faux positifs

Au-delà de l’état de la recherche, l’ANSSI a sondé l’état du marché, selon une classification en 12 catégories de solutions AppSec.

Type de solution

Description

Static Application Security Testing (SAST)

Identifie les vulnérabilités en analysant le code source ou les binaires, sans exécuter l’application.

Dynamic Application Security Testing (DAST)

Détecte les problèmes de sécurité en testant l’application en fonctionnement, en simulant des attaques externes.

Interactive Application Security Testing (IAST)

Combine les techniques SAST et DAST en instrumentant l’application pour analyser son comportement en temps réel.

Runtime Application Self-Protection (RASP)

Surveille et protège l’application en détectant et en bloquant les menaces lors de l’exécution.

Software Composition Analysis (SCA)

Détecte les vulnérabilités et les risques liés aux composants logiciels tiers et open source, en s’appuyant généralement sur un Software Bill of Materials (SBOM) pour fournir un inventaire structuré de tous les composants, dépendances et risques associés.

Scanner IaC (Infrastructure as Code)

Analyse les modèles IaC (p. ex. Terraform, CloudFormation) afin de détecter les mauvaises configurations et les risques de sécurité avant le déploiement.

Artefact scanner

Examine les artefacts compilés (p. ex. conteneurs, binaires) afin de détecter les vulnérabilités connues et les problèmes de conformité.

Solutions de détection et gestion des secrets

Stockent de manière sécurisée les données sensibles et détectent les secrets codés en dur ou exposés dans le code et les pipelines.

Solutions de modélisation des menaces

Aident à identifier et évaluer les menaces potentielles durant la phase de conception du cycle de vie logiciel.

Solutions de signature d’artefacts

Garantissent l’authenticité et l’intégrité des artefacts logiciels grâce à des signatures cryptographiques.

Application Security Posture Management (ASPM)

Agrège et priorise les résultats de sécurité issus de différentes solutions afin de fournir une visibilité sur la posture de sécurité des applications.

AppSec/DevSecOps Training Platforms

Fournit des formations axées sur les pratiques de développement sécurisées et l’intégration de la sécurité dans les flux de travail DevOps.

Trois de ces catégories (SCA/SBOM, ASMP et gestion/scan de secrets) ont fait l’objet d’une étude approfondie. D’une part, à travers des entretiens avec 13 fournisseurs (dont 6 européens). De l’autre, en interrogeant 9 organisations avec un questionnaire basé sur le référentiel de maturité OWASP DevSecOps.

S’il en ressort une tendance à la « plateformisation » (10 fournisseurs sur 13 ont pris le pli), certaines intégrations demeurent partielles. Par exemple entre gestion des SBOM et détection des vulnérabilités : les workflows, les sources de données et les parcours utilisateurs restent souvent distincts.

Comme sur quantité d’autres marchés, l’IA se diffuse, mais la maturité varie considérablement. L’ANSSI l’estime insuffisante pour réduire significativement les faux positifs – fréquents notamment avec le SAST – ou améliorer la priorisation après analyse. Les organisations développent certes des solutions internes, mais qui progressent lentement et produisent des résultats limités. Elles attendent par ailleurs que les fournisseurs basculent des LLM généralistes vers des modèles spécialisés.

La remédiation aussi s’avère complexe. Surtout avec les scanners de secrets et les résultats des analyses SCA (impliquant parfois une restructuration importante du code).

À ces éléments s’ajoutent des cadres réglementaires « formulés à haut niveau ». Les orientations opérationnelles sont limitées : il est difficile de traduire les exigences en pratiques concrètes.

Illustration générée par IA

The post Recherche, IA, intégrations… Les angles morts du DevSecOps appeared first on Silicon.fr.