crédit photo © blackdaliya - shutterstock
Veracode, éditeur de solutions de sécurité applicative, a livré son rapport 2020 « State of Software Security (SOSS) – Open Source Edition ». Le niveau de sécurité de bibliothèques (libraries) open source présentes dans 85 000 applications a été analysé par le fournisseur.
« Présentes dans presque toutes les applications aujourd’hui, les bibliothèques open source permettent aux développeurs d’ajouter rapidement des fonctionnalités de base [aux applis]. En fait, il serait presque impossible d’innover avec des logiciels sans ces bibliothèques. Cependant, le manque de sensibilisation concernant la manière dont elles sont utilisées et les risques associés est problématique », a souligné Veracode dans un billet de blog.
Les applications JavaScript, par exemple, contiennent des centaines de bibliothèques open source – voire plus de 1 000 bibliothèques différentes pour certaines.
Or, 70% des applications étudiées (analyse initiale) présentent au moins une faille de sécurité liée à l’utilisation de bibliothèques open source, selon le rapport.
Quelles sont les vulnérabilités les plus souvent repérées ?
Les failles XSS (Cross-site scripting), la désérialisation non sécurisée et le contrôle d’accès défectueux sont les plus souvent identifiés.
Qui est responsable ?
47% des bibliothèques vulnérables sont « transitives ». Elles ne sont donc pas directement intégrées dans le code par les développeurs, mais par d’autres bibliothèques en amont.
42%, en revanche, sont directement intégrées par les développeurs d’applications.
11%, enfin, reposent sur ces deux approches.
La bonne nouvelle est que 74% des failles introduites par le biais de bibliothèques peuvent être corrigées via une « simple » mise à jour de version.
Selon, une autre étude (Synopsys), le maintien d’un inventaire précis des composants logiciels tiers, y compris les dépendances open source, et leur mise à jour, est essentiel.
(crédit photo © Shutterstock)
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…