Pour gérer vos consentements :
Categories: LogicielsOpen Source

Sécurité et Open Source : des dépendances à risque

Présents dans pratiquement tous les programmes informatiques et applications, les composants et bibliothèques open source tiers permettent aux développeurs d’ajouter à ces apps des fonctionnalités de base ou spécifiques, sans avoir à réinventer la roue.

La pratique n’est pas sans risque. Or, la correction de vulnérabilités applicatives résultant de la réutilisation de lignes de code source libre n’est pas le point fort des organisations, relèvent Snyk et la Fondation Linux dans leur rapport « The State of Open Source Security ».

En outre, un projet moyen de développement applicatif présente 49 vulnérabilités et 80 dépendances directes à du code open source. Aussi, 41% des organisations interrogées* n’ont pas une confiance élevée dans la sécurité de leurs logiciels open source. Elles sont plus nombreuses encore (49%) à ne pas avoir de politique de sécurité open source.

Or, la durée nécessaire pour corriger les failles dans ce domaine a plus que doublé en trois ans, passant de 49 jours en 2018 à 110 jours en 2021.

Pas de recette miracle

« Les développeurs logiciels ont aujourd’hui leurs propres chaînes d’approvisionnement » a relevé Matt Jarvis, directeur relations développeurs chez Snyk. « Ils assemblent du code en corrigeant les composants open source existants avec leur code unique. Cela peut améliorer l’innovation et la productivité mais aussi créé d’importants problèmes de sécurité. »

Si 25% se disent très concernés par l’impact des dépendances directes sur la sécurité. Ils ne sont plus que 18% à se déclarer confiants quant aux contrôles mis en place pour les dépendances transitives ou indirectes, qui abritent 40% du total des vulnérabilités étudiées.

Malgré tout, la plupart des équipes concernées ne sauraient ignorer les complexités de sécurité que draine l’open source dans la chaîne d’approvisionnement de logiciels.

Snyk et la Fondation Linux, qui prêchent pour leur paroisse, recommandent donc aux entreprises de : définir et deployer une politique de sécurité open source, utiliser davantage l’automatisation pour adapter leur réponse à l’extension de la surface d’attaque, renforcer la relation avec les communautés open source et les fournisseurs de l’écosystème.

*Le rapport est alimenté par une enquête menée auprès de plus de 550 développeurs, mainteneurs, contributeurs et professionnels de la cybersécurité au premier trimestre 2022 et sur des données Snyk (plateforme devsecops).

(crédit photo via Pexels)

Recent Posts

Étude Trends of IT 2024 : comprendre les mutations de l’environnement IT

Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…

3 heures ago

Guillaume Poupard, DGA de Docaposte : « Le plus de l’offre, c’est notre position comme acteur de confiance »

Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…

3 heures ago

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

7 heures ago

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

10 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

12 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

1 jour ago