À quelles composantes porter attention pour assurer la sécurité des développements logiciels ? Le rapport Security Trends de GitLab donne des indications.
Un premier volet était paru en avril. L’éditeur américain vient d’en publier un second. Il l’a ponctué de graphiques interactifs qui illustrent l’évolution des tendances.
Son analyse a englobé des « milliers » de projets hébergés sur la plate-forme. Elle a impliqué quatre outils de scan : statique, dynamique, dépendances et conteneurs.
Toutes les failles détectées ont été associées à leur principale classe CWE.
La CWE-20 (mauvaise validation d’entrée) était la plus répandue au mois d’août. 61 % des projets présentaient au moins une faille entrant dans cette catégorie.
C’est l’analyseur de conteneurs qui en a trouvé le plus, essentiellement dans les bibliothèques glibc et apt. L’analyseur de dépendances a quant à lui trouvé des CWE-20 essentiellement dans ajv (validation de formulaires), sockjs (émulation WebSocket), minimist et yargs-parser (pour le développement d’outils en ligne de commande).
Deuxième catégorie de vulnérabilités la plus fréquente : CWE-787 (écriture hors limites), avec 51 % des projets concernés. Là encore, côté conteneurs, glibc domine, devant openexr (pour le traitement du format de fichier du même nom) et ghostscript (transformation de données PostScript). Côté dépendances, la palme revient à execa (amélioration des processus enfants).
Troisième catégorie : CWE-400 (consommation non contrôlée de ressources), avec 44 % des projets. mixin-deep (fusion de propriétés d’objets), mysql et nghttp2 (implémentation C de HTTP2) tiennent le haut du pavé.
Le taux de projets qui exploitent au moins une dépendance vulnérable a nettement progressé : 69 %, contre environ 50 % en avril. En tête de liste, lodash (manipulation de données). suivent execa, mixin-deep et kind-of (obtention du type natif d’une valeur ; déjà présent en avril).
À l’inverse, sous le prisme des conteneurs, le taux de projets vulnérables baisse, de 50 % à 41 %. Avec en première ligne glibc, libx11 (associée au système de fenêtrage X11) et systemd. On notera que parmi les éléments affectés, plus de 40 % présentent au moins une faille qui date de 2017 ou d’avant.
Sur l’analyse statique, on est revenu à la proportion d’il y a un an : environ 50 % de projets vulnérables. Le plus souvent, le problème tient à la transmission non sécurisée de mots de passe dans des URL. Dans une moindre mesure, il peut être la conséquence d’un usage non sécurisé de fichier ou de dossier temporaire. Ou encore de la prédictibilité d’un générateur de nombres aléatoires.
Le code expose aussi parfois des secrets. En l’occurrence, des clés RSA privées pour 14 % des projets, des clés PKCS8 pour 10 % et des clés d’API AWS pour 7 %.
Illustration principale © Smeisatch – shutterstock.com
Le voile est levé sur Oracle Code Assist. Présenté comme spécialisé en Java et SQL,…
EPEI, la société d'investissement de Daniel Kretinsky, a déposé une offre de reprise d'Atos. En…
Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…
