Pour gérer vos consentements :

Applications : l’obsolescence ignorée de composants open source

Synopsys, éditeur de logiciels de conception et de vérification de circuits intégrés, a réalisé l’audit du codebase (soit l’ensemble du code source utilisé pour un logiciel) d’applications commerciales pour son rapport 2020 (Open Source Security and Risk Analysis Report).

Presque tous ces codebases (99%) contiennent au moins un composant logiciel open source. Par ailleurs, 70% de l’ensemble du code analysé est open source. Un doublement en cinq ans.

Seulement, l’utilisation de composants open source obsolètes persiste. 91% des codebases scrutés incluent des composants logiciels dépassés de plus de quatre ans ou qui n’ont pas fait l’objet de développement au cours des deux dernières années, selon le rapport.

L’exposition aux failles de sécurité augmente et les mises à jour peuvent être compliquées par des problèmes de fonctionnalité ou de compatibilité.

Mises à jour, licences et dépendances

Plus préoccupant encore, 75% du codebase étudié contient des composants open source présentant des failles de sécurité connues. Un taux en hausse de 15 points en un an.

De même, près de la moitié (49%) de ce code intègre des vulnérabilités à haut risque, contre 40% déjà 12 mois auparavant. Enfin, des problèmes de licences open source perdurent pour 68% des codebases étudiés.

« Il est difficile d’ignorer le rôle essentiel que joue l’open source dans le développement et le déploiement de logiciels aujourd’hui. Mais il est facile d’ignorer comment il impacte le profil de risque associé à une application en termes de sécurité et de conformité des licences », a déclaré Tim Mackey, stratège en sécurité du Synopsys Cybersecurity Research Center.

Synopsys recommande donc aux entreprises de gérer le risque. « Le maintien d’un inventaire précis des composants logiciels tiers, y compris les dépendances open source, et leur mise à jour, est un point de départ clé pour répondre au risque applicatif sur plusieurs niveaux. »

(crédit photo : via pexels)

Recent Posts

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

3 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

5 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

22 heures ago

Quelques chiffres pour contextualiser le premier livrable du comité de l’IA générative

Le comité de l'IA générative établi en septembre 2023 par le Gouvernement a formulé ses…

23 heures ago

Le DMA, cette entreprise de microgestion des Big Tech

L'UE multiplie les enquêtes et les procédures de non-conformité contre des entreprises soumises au DMA.

1 jour ago

Docaposte se pose en centrale cyber pour les PME

Forum InCyber 2024 - Docaposte fédère les offres d'une douzaine d'acteurs français en un Pack…

2 jours ago