Le niveau de sécurité de bibliothèques (libraries) open source présentes dans 86 000 applications a été analysé. Aussi, près de 2 000 développeurs ont été interrogés dans le cadre du rapport* 2021 sur l’état de la sécurité logicielle – édition open source.
Présentes dans pratiquement toutes les applications, les bibliothèques open source tierces permettent aux développeurs d’y ajouter des fonctionnalités de base.
52% des développeurs interrogés disposent d’un processus formel de sélection des bibliothèques tierces. 28,4% l’ignorent et 19,1% répondent par la négative.
Dans ce contexte, 79% des bibliothèques tierces ne sont jamais mises à jour par les développeurs après avoir été intégrées dans une base de code. Elles sont ainsi davantage exposées à différentes menaces : exécution de code arbitraire, déni de service (DoS), attaques XXE (eXternal XML entities), failles XSS (Cross-site scripting), etc.
« Les bibliothèques open source évoluent constamment, de sorte que ce qui semble sûr aujourd’hui peut ne plus l’être demain », relèvent les auteurs du rapport.
Lorsque les développeurs sont alertés de la présence d’une bibliothèque vulnérable, ils réagissent plus ou moins rapidement. Ainsi, 17% des bibliothèques vulnérables sont corrigées dans l’heure qui suit l’analyse ayant alerté le professionnel de la faille, 25% dans les sept jours, 50% dans les trois mois…
Pour mieux faire, Veracode recommande de maintenir un inventaire précis des composants logiciels tiers, y compris les dépendances open source et leur mise à jour.
Le fournisseur de solutions de sécurité applicative (AppSec) insiste : 92% des failles des bibliothèques open source pourraient être corrigées par une simple mise à jour. Dans 69% des cas, il s’agit de changements « mineurs » de version.
*Veracode – « State of Software Security (SOSS) vol. 11: Open Source Edition »
(crédit photo : opensource via Visual Hunt / CC BY-SA)
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…
Les grands de l'IT suppriment des milliers de jobs au nom du déploiement de. Une…