Présents dans pratiquement tous les programmes informatiques et applications, les composants et bibliothèques open source tiers permettent aux développeurs d’ajouter à ces apps des fonctionnalités de base ou spécifiques, sans avoir à réinventer la roue.
La pratique n’est pas sans risque. Or, la correction de vulnérabilités applicatives résultant de la réutilisation de lignes de code source libre n’est pas le point fort des organisations, relèvent Snyk et la Fondation Linux dans leur rapport « The State of Open Source Security ».
En outre, un projet moyen de développement applicatif présente 49 vulnérabilités et 80 dépendances directes à du code open source. Aussi, 41% des organisations interrogées* n’ont pas une confiance élevée dans la sécurité de leurs logiciels open source. Elles sont plus nombreuses encore (49%) à ne pas avoir de politique de sécurité open source.
Or, la durée nécessaire pour corriger les failles dans ce domaine a plus que doublé en trois ans, passant de 49 jours en 2018 à 110 jours en 2021.
« Les développeurs logiciels ont aujourd’hui leurs propres chaînes d’approvisionnement » a relevé Matt Jarvis, directeur relations développeurs chez Snyk. « Ils assemblent du code en corrigeant les composants open source existants avec leur code unique. Cela peut améliorer l’innovation et la productivité mais aussi créé d’importants problèmes de sécurité. »
Si 25% se disent très concernés par l’impact des dépendances directes sur la sécurité. Ils ne sont plus que 18% à se déclarer confiants quant aux contrôles mis en place pour les dépendances transitives ou indirectes, qui abritent 40% du total des vulnérabilités étudiées.
Malgré tout, la plupart des équipes concernées ne sauraient ignorer les complexités de sécurité que draine l’open source dans la chaîne d’approvisionnement de logiciels.
Snyk et la Fondation Linux, qui prêchent pour leur paroisse, recommandent donc aux entreprises de : définir et deployer une politique de sécurité open source, utiliser davantage l’automatisation pour adapter leur réponse à l’extension de la surface d’attaque, renforcer la relation avec les communautés open source et les fournisseurs de l’écosystème.
*Le rapport est alimenté par une enquête menée auprès de plus de 550 développeurs, mainteneurs, contributeurs et professionnels de la cybersécurité au premier trimestre 2022 et sur des données Snyk (plateforme devsecops).
(crédit photo via Pexels)
Respectivement DG et CTO de Red Hat France, Rémy Mandon et David Szegedi évoquent le…
Canonical formalise un service de conception de conteneurs minimalistes et y associe des engagements de…
L'Autorité de la concurrence s'apprêterait à inculper NVIDIA pour des pratiques anticoncurrentielles sur le marché…
Le CERT-FR revient sur les failles dans équipements de sécurité présents notamment en bordure de…
Mistral AI formalise ses travaux communs avec l'entreprise finlandaise Silo AI, qui publie elle aussi…
La présidente de Numeum, Véronique Torner, revient sur la genèse de la tribune du collectif…