Veracode, éditeur de solutions de sécurité applicative, a livré son rapport 2020 « State of Software Security (SOSS) – Open Source Edition ». Le niveau de sécurité de bibliothèques (libraries) open source présentes dans 85 000 applications a été analysé par le fournisseur.
« Présentes dans presque toutes les applications aujourd’hui, les bibliothèques open source permettent aux développeurs d’ajouter rapidement des fonctionnalités de base [aux applis]. En fait, il serait presque impossible d’innover avec des logiciels sans ces bibliothèques. Cependant, le manque de sensibilisation concernant la manière dont elles sont utilisées et les risques associés est problématique », a souligné Veracode dans un billet de blog.
Les applications JavaScript, par exemple, contiennent des centaines de bibliothèques open source – voire plus de 1 000 bibliothèques différentes pour certaines.
Or, 70% des applications étudiées (analyse initiale) présentent au moins une faille de sécurité liée à l’utilisation de bibliothèques open source, selon le rapport.
Quelles sont les vulnérabilités les plus souvent repérées ?
Les failles XSS (Cross-site scripting), la désérialisation non sécurisée et le contrôle d’accès défectueux sont les plus souvent identifiés.
Qui est responsable ?
47% des bibliothèques vulnérables sont « transitives ». Elles ne sont donc pas directement intégrées dans le code par les développeurs, mais par d’autres bibliothèques en amont.
42%, en revanche, sont directement intégrées par les développeurs d’applications.
11%, enfin, reposent sur ces deux approches.
La bonne nouvelle est que 74% des failles introduites par le biais de bibliothèques peuvent être corrigées via une « simple » mise à jour de version.
Selon, une autre étude (Synopsys), le maintien d’un inventaire précis des composants logiciels tiers, y compris les dépendances open source, et leur mise à jour, est essentiel.
(crédit photo © Shutterstock)
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.