Pour gérer vos consentements :
Categories: Sécurité

Sécurité du code : le bilan de GitLab

À quelles composantes porter attention pour assurer la sécurité des développements logiciels ? Le rapport Security Trends de GitLab donne des indications.

Un premier volet était paru en avril. L’éditeur américain vient d’en publier un second. Il l’a ponctué de graphiques interactifs qui illustrent l’évolution des tendances.

Son analyse a englobé des « milliers » de projets hébergés sur la plate-forme. Elle a impliqué quatre outils de scan : statique, dynamique, dépendances et conteneurs.

Toutes les failles détectées ont été associées à leur principale classe CWE.
La CWE-20 (mauvaise validation d’entrée) était la plus répandue au mois d’août. 61 % des projets présentaient au moins une faille entrant dans cette catégorie.
C’est l’analyseur de conteneurs qui en a trouvé le plus, essentiellement dans les bibliothèques glibc et apt. L’analyseur de dépendances a quant à lui trouvé des CWE-20 essentiellement dans ajv (validation de formulaires), sockjs (émulation WebSocket), minimist et yargs-parser (pour le développement d’outils en ligne de commande).

Deuxième catégorie de vulnérabilités la plus fréquente : CWE-787 (écriture hors limites), avec 51 % des projets concernés. Là encore, côté conteneurs, glibc domine, devant openexr (pour le traitement du format de fichier du même nom) et ghostscript (transformation de données PostScript). Côté dépendances, la palme revient à execa (amélioration des processus enfants).

Troisième catégorie : CWE-400 (consommation non contrôlée de ressources), avec 44 % des projets. mixin-deep (fusion de propriétés d’objets), mysql et nghttp2 (implémentation C de HTTP2) tiennent le haut du pavé.

Des failles anciennes subsistent

Le taux de projets qui exploitent au moins une dépendance vulnérable a nettement progressé : 69 %, contre environ 50 % en avril. En tête de liste, lodash (manipulation de données). suivent execa, mixin-deep et kind-of (obtention du type natif d’une valeur ; déjà présent en avril).

À l’inverse, sous le prisme des conteneurs, le taux de projets vulnérables baisse, de 50 % à 41 %. Avec en première ligne glibc, libx11 (associée au système de fenêtrage X11) et systemd. On notera que parmi les éléments affectés, plus de 40 % présentent au moins une faille qui date de 2017 ou d’avant.

Sur l’analyse statique, on est revenu à la proportion d’il y a un an : environ 50 % de projets vulnérables. Le plus souvent, le problème tient à la transmission non sécurisée de mots de passe dans des URL. Dans une moindre mesure, il peut être la conséquence d’un usage non sécurisé de fichier ou de dossier temporaire. Ou encore de la prédictibilité d’un générateur de nombres aléatoires.

Le code expose aussi parfois des secrets. En l’occurrence, des clés RSA privées pour 14 % des projets, des clés PKCS8 pour 10 % et des clés d’API AWS pour 7 %.

Illustration principale © Smeisatch – shutterstock.com

Recent Posts

Après la NAND, Intel dit stop à la gamme Optane

Après avoir vendu son activité NAND, Intel tire un trait sur la technologie 3D XPoint,…

2 semaines ago

Google Analytics : la Cnil a posé les règles du jeu

Près de six mois ont passé depuis de que la Cnil a déclaré l'usage de…

2 semaines ago

Truffle 100 France : le top 20 des éditeurs de logiciels

Truffle 100 France : qui sont les 21 entreprises qui ont dépassé, en 2021, les…

2 semaines ago

Cloud : AWS brocarde les politiques de licences Microsoft

Un dirigeant d'Amazon Web Services dénonce des "changements cosmétiques" apportés par Microsoft à ses politiques…

2 semaines ago

Sécurité du code au cloud : Snyk Cloud, un joker pour développeurs

Snyk officialise le lancement de sa solution de sécurité cloud pour développeurs, Snyk Cloud, fruit…

2 semaines ago

Cegid accroche Grupo Primavera à son tableau d’acquisitions

Cegid va absorber Grupo Primavera, plate-forme de logiciels de gestion d'entreprise née dans la péninsule…

2 semaines ago