Sécurité et Open Source : des dépendances à risque

Les entreprises peinent à adresser les vulnérabilités applicatives issues de la réutilisation de code de composants et bibliothèques open source tiers.

Présents dans pratiquement tous les programmes informatiques et applications, les composants et bibliothèques open source tiers permettent aux développeurs d’ajouter à ces apps des fonctionnalités de base ou spécifiques, sans avoir à réinventer la roue.

La pratique n’est pas sans risque. Or, la correction de vulnérabilités applicatives résultant de la réutilisation de lignes de code source libre n’est pas le point fort des organisations, relèvent Snyk et la Fondation Linux dans leur rapport « The State of Open Source Security ».

En outre, un projet moyen de développement applicatif présente 49 vulnérabilités et 80 dépendances directes à du code open source. Aussi, 41% des organisations interrogées* n’ont pas une confiance élevée dans la sécurité de leurs logiciels open source. Elles sont plus nombreuses encore (49%) à ne pas avoir de politique de sécurité open source.

Or, la durée nécessaire pour corriger les failles dans ce domaine a plus que doublé en trois ans, passant de 49 jours en 2018 à 110 jours en 2021.

Pas de recette miracle

« Les développeurs logiciels ont aujourd’hui leurs propres chaînes d’approvisionnement » a relevé Matt Jarvis, directeur relations développeurs chez Snyk. « Ils assemblent du code en corrigeant les composants open source existants avec leur code unique. Cela peut améliorer l’innovation et la productivité mais aussi créé d’importants problèmes de sécurité. »

Si 25% se disent très concernés par l’impact des dépendances directes sur la sécurité. Ils ne sont plus que 18% à se déclarer confiants quant aux contrôles mis en place pour les dépendances transitives ou indirectes, qui abritent 40% du total des vulnérabilités étudiées.

Malgré tout, la plupart des équipes concernées ne sauraient ignorer les complexités de sécurité que draine l’open source dans la chaîne d’approvisionnement de logiciels.

Snyk et la Fondation Linux, qui prêchent pour leur paroisse, recommandent donc aux entreprises de : définir et deployer une politique de sécurité open source, utiliser davantage l’automatisation pour adapter leur réponse à l’extension de la surface d’attaque, renforcer la relation avec les communautés open source et les fournisseurs de l’écosystème.

*Le rapport est alimenté par une enquête menée auprès de plus de 550 développeurs, mainteneurs, contributeurs et professionnels de la cybersécurité au premier trimestre 2022 et sur des données Snyk (plateforme devsecops).

(crédit photo via Pexels)