Bibliothèques Open Source : 7 applications sur 10 vulnérables

LogicielsOpen SourceSécurité
applications mobiles (crédit photo © blackdaliya - shutterstock)

Failles XSS, désérialisation non sécurisée… La plupart des applications contiennent des bibliothèques open source vulnérables, selon un rapport.

Want create site? Find Free WordPress Themes and plugins.

Veracode, éditeur de solutions de sécurité applicative, a livré son rapport 2020 « State of Software Security (SOSS) – Open Source Edition ». Le niveau de sécurité de bibliothèques (libraries) open source présentes dans 85 000 applications a été analysé par le fournisseur.

« Présentes dans presque toutes les applications aujourd’hui, les bibliothèques open source permettent aux développeurs d’ajouter rapidement des fonctionnalités de base [aux applis]. En fait, il serait presque impossible d’innover avec des logiciels sans ces bibliothèques. Cependant, le manque de sensibilisation concernant la manière dont elles sont utilisées et les risques associés est problématique », a souligné Veracode dans un billet de blog.

Les applications JavaScript, par exemple, contiennent des centaines de bibliothèques open source – voire plus de 1 000 bibliothèques différentes pour certaines.

Or, 70% des applications étudiées (analyse initiale) présentent au moins une faille de sécurité liée à l’utilisation de bibliothèques open source, selon le rapport.

Quelles sont les vulnérabilités les plus souvent repérées ?

Le jeu des dépendances

Les failles XSS (Cross-site scripting), la désérialisation non sécurisée et le contrôle d’accès défectueux sont les plus souvent identifiés.

Qui est responsable ?

47% des bibliothèques vulnérables sont « transitives ». Elles ne sont donc pas directement intégrées dans le code par les développeurs, mais par d’autres bibliothèques en amont.

42%, en revanche, sont directement intégrées par les développeurs d’applications.

11%, enfin, reposent sur ces deux approches.

La bonne nouvelle est que 74% des failles introduites par le biais de bibliothèques peuvent être corrigées via une « simple » mise à jour de version.

Selon, une autre étude (Synopsys), le maintien d’un inventaire précis des composants logiciels tiers, y compris les dépendances open source, et leur mise à jour, est essentiel.

(crédit photo © Shutterstock)

Did you find apk for android? You can find new Free Android Games and apps.

Lire aussi :

Avis d'experts de l'IT