Bibliothèques Open Source : 7 applications sur 10 vulnérables
Publié par La rédaction le | Mis à jour le
Failles XSS, désérialisation non sécurisée. La plupart des applications contiennent des bibliothèques open source vulnérables, selon un rapport.
Veracode, éditeur de solutions de sécurité applicative, a livré son rapport 2020 « State of Software Security (SOSS) - Open Source Edition ». Le niveau de sécurité de bibliothèques (libraries) open source présentes dans 85 000 applications a été analysé par le fournisseur.
« Présentes dans presque toutes les applications aujourd'hui, les bibliothèques open source permettent aux développeurs d'ajouter rapidement des fonctionnalités de base [aux applis]. En fait, il serait presque impossible d'innover avec des logiciels sans ces bibliothèques. Cependant, le manque de sensibilisation concernant la manière dont elles sont utilisées et les risques associés est problématique », a souligné Veracode dans un billet de blog.
Les applications JavaScript, par exemple, contiennent des centaines de bibliothèques open source - voire plus de 1 000 bibliothèques différentes pour certaines.
Or, 70% des applications étudiées (analyse initiale) présentent au moins une faille de sécurité liée à l'utilisation de bibliothèques open source, selon le rapport.
Quelles sont les vulnérabilités les plus souvent repérées ?
Le jeu des dépendances
Les failles XSS (Cross-site scripting), la désérialisation non sécurisée et le contrôle d'accès défectueux sont les plus souvent identifiés.
Qui est responsable ?
47% des bibliothèques vulnérables sont « transitives ». Elles ne sont donc pas directement intégrées dans le code par les développeurs, mais par d'autres bibliothèques en amont.
42%, en revanche, sont directement intégrées par les développeurs d'applications.
11%, enfin, reposent sur ces deux approches.
La bonne nouvelle est que 74% des failles introduites par le biais de bibliothèques peuvent être corrigées via une « simple » mise à jour de version.
Selon, une autre étude (Synopsys), le maintien d'un inventaire précis des composants logiciels tiers, y compris les dépendances open source, et leur mise à jour, est essentiel.
(crédit photo © Shutterstock)