Pour gérer vos consentements :
Categories: LogicielsOpen Source

Sécurité et Open Source : des dépendances à risque

Présents dans pratiquement tous les programmes informatiques et applications, les composants et bibliothèques open source tiers permettent aux développeurs d’ajouter à ces apps des fonctionnalités de base ou spécifiques, sans avoir à réinventer la roue.

La pratique n’est pas sans risque. Or, la correction de vulnérabilités applicatives résultant de la réutilisation de lignes de code source libre n’est pas le point fort des organisations, relèvent Snyk et la Fondation Linux dans leur rapport « The State of Open Source Security ».

En outre, un projet moyen de développement applicatif présente 49 vulnérabilités et 80 dépendances directes à du code open source. Aussi, 41% des organisations interrogées* n’ont pas une confiance élevée dans la sécurité de leurs logiciels open source. Elles sont plus nombreuses encore (49%) à ne pas avoir de politique de sécurité open source.

Or, la durée nécessaire pour corriger les failles dans ce domaine a plus que doublé en trois ans, passant de 49 jours en 2018 à 110 jours en 2021.

Pas de recette miracle

« Les développeurs logiciels ont aujourd’hui leurs propres chaînes d’approvisionnement » a relevé Matt Jarvis, directeur relations développeurs chez Snyk. « Ils assemblent du code en corrigeant les composants open source existants avec leur code unique. Cela peut améliorer l’innovation et la productivité mais aussi créé d’importants problèmes de sécurité. »

Si 25% se disent très concernés par l’impact des dépendances directes sur la sécurité. Ils ne sont plus que 18% à se déclarer confiants quant aux contrôles mis en place pour les dépendances transitives ou indirectes, qui abritent 40% du total des vulnérabilités étudiées.

Malgré tout, la plupart des équipes concernées ne sauraient ignorer les complexités de sécurité que draine l’open source dans la chaîne d’approvisionnement de logiciels.

Snyk et la Fondation Linux, qui prêchent pour leur paroisse, recommandent donc aux entreprises de : définir et deployer une politique de sécurité open source, utiliser davantage l’automatisation pour adapter leur réponse à l’extension de la surface d’attaque, renforcer la relation avec les communautés open source et les fournisseurs de l’écosystème.

*Le rapport est alimenté par une enquête menée auprès de plus de 550 développeurs, mainteneurs, contributeurs et professionnels de la cybersécurité au premier trimestre 2022 et sur des données Snyk (plateforme devsecops).

(crédit photo via Pexels)

Recent Posts

Budgets IT 2023 : 3 priorités pour les PME

Cybersécurité, applications métiers et cloud... Confrontées à l'augmentation du risque cyber, les entreprises de taille…

6 heures ago

Règlement IA : l’UE avance sur le sujet de la responsabilité

La Commission européenne propose de moderniser le cadre de la responsabilité civile pour l'adapter, entre…

7 heures ago

Sécurité cloud : Zscaler acquiert ShiftRight plus de 25 M$

En s'offrant ShiftRight, Zscaler étend les capacités d'automatisation des workflows de sécurité de sa plateforme…

11 heures ago

MIRIS : alliance au CAC 40 pour une « mutuelle cyber »

Destinée à couvrir exclusivement le risque numérique, MIRIS réunit des entreprises allemandes, belge et françaises,…

13 heures ago

Virtualisation, cloud et data : Citrix et Tibco fusionnent (enfin)

Citrix et Tibco bouclent leur accord à 16,5 milliards $. Leur holding Cloud Software Group…

15 heures ago

Cybersécurité : que nous enseigne la vision des hackers éthiques ?

Choix des outils, techniques privilégiées, points sensibles ciblés... Des hackers éthiques ont livré leur vision…

3 jours ago