Pour gérer vos consentements :

Bibliothèques Open Source : des mises à jour qui se font attendre

Le niveau de sécurité de bibliothèques (libraries) open source présentes dans 86 000 applications a été analysé. Aussi, près de 2 000 développeurs ont été interrogés dans le cadre du rapport* 2021 sur l’état de la sécurité logicielle – édition open source.

Présentes dans pratiquement toutes les applications, les bibliothèques open source tierces permettent aux développeurs d’y ajouter des fonctionnalités de base.

52% des développeurs interrogés disposent d’un processus formel de sélection des bibliothèques tierces. 28,4% l’ignorent et 19,1% répondent par la négative.

Dans ce contexte, 79% des bibliothèques tierces ne sont jamais mises à jour par les développeurs après avoir été intégrées dans une base de code. Elles sont ainsi davantage exposées à différentes menaces : exécution de code arbitraire, déni de service (DoS), attaques XXE (eXternal XML entities), failles XSS (Cross-site scripting), etc.

« Les bibliothèques open source évoluent constamment, de sorte que ce qui semble sûr aujourd’hui peut ne plus l’être demain », relèvent les auteurs du rapport.

Inventaire et mise à jour logicielle

Lorsque les développeurs sont alertés de la présence d’une bibliothèque vulnérable, ils réagissent plus ou moins rapidement. Ainsi, 17% des bibliothèques vulnérables sont corrigées dans l’heure qui suit l’analyse ayant alerté le professionnel de la faille, 25% dans les sept jours, 50% dans les trois mois…

Pour mieux faire, Veracode recommande de maintenir un inventaire précis des composants logiciels tiers, y compris les dépendances open source et leur mise à jour.

Le fournisseur de solutions de sécurité applicative (AppSec) insiste : 92% des failles des bibliothèques open source pourraient être corrigées par une simple mise à jour. Dans 69% des cas, il s’agit de changements « mineurs » de version.

*Veracode – « State of Software Security (SOSS) vol. 11: Open Source Edition »

(crédit photo : opensource via Visual Hunt / CC BY-SA)

Recent Posts

Arm-NVIDIA : de la Chine aux USA, les barrières se dressent

Aux États-Unis, un nouvel obstacle se dresse face au projet de fusion Arm-NVIDIA. Quelles autres…

2 jours ago

Géolocalisation en entreprise : un suivi proportionné ?

Utilisés dans le cadre professionnel, smartphones et véhicules peuvent être géolocalisés par l'employeur. Qu'en pensent…

2 jours ago

Salesforce : avec Bret Taylor, Marc Benioff prépare sa succession

Promu co-CEO, Bret Taylor pilote avec Marc Benioff le prochain chapitre de Salesforce. Leurs mots…

3 jours ago

Data et cybersécurité : les métiers les plus mouvants du SI ?

Les métiers de la data et de la cybersécurité concentrent une part importante des évolutions…

3 jours ago

Teams Essentials : une réponse à la Commission européenne ?

Microsoft dégaine une offre qui permet d'accéder à Teams indépendamment de sa suite bureautique cloud.…

3 jours ago

« Convergences numériques 2022 » : le Cigref, Numeum et d’autres interpellent les présidentiables

Cigref, Numeum, Cinov, Afnum... L'industrie numérique française sert les rangs pour peser sur les programmes…

3 jours ago