Bibliothèques Open Source : 7 applications sur 10 vulnérables

Veracode, éditeur de solutions de sécurité applicative, a livré son rapport 2020 « State of Software Security (SOSS) – Open Source Edition ». Le niveau de sécurité de bibliothèques (libraries) open source présentes dans 85 000 applications a été analysé par le fournisseur.

« Présentes dans presque toutes les applications aujourd’hui, les bibliothèques open source permettent aux développeurs d’ajouter rapidement des fonctionnalités de base [aux applis]. En fait, il serait presque impossible d’innover avec des logiciels sans ces bibliothèques. Cependant, le manque de sensibilisation concernant la manière dont elles sont utilisées et les risques associés est problématique », a souligné Veracode dans un billet de blog.

Les applications JavaScript, par exemple, contiennent des centaines de bibliothèques open source – voire plus de 1 000 bibliothèques différentes pour certaines.

Or, 70% des applications étudiées (analyse initiale) présentent au moins une faille de sécurité liée à l’utilisation de bibliothèques open source, selon le rapport.

Quelles sont les vulnérabilités les plus souvent repérées ?

Le jeu des dépendances

Les failles XSS (Cross-site scripting), la désérialisation non sécurisée et le contrôle d’accès défectueux sont les plus souvent identifiés.

Qui est responsable ?

47% des bibliothèques vulnérables sont « transitives ». Elles ne sont donc pas directement intégrées dans le code par les développeurs, mais par d’autres bibliothèques en amont.

42%, en revanche, sont directement intégrées par les développeurs d’applications.

11%, enfin, reposent sur ces deux approches.

La bonne nouvelle est que 74% des failles introduites par le biais de bibliothèques peuvent être corrigées via une « simple » mise à jour de version.

Selon, une autre étude (Synopsys), le maintien d’un inventaire précis des composants logiciels tiers, y compris les dépendances open source, et leur mise à jour, est essentiel.

_{(crédit photo © Shutterstock)}