Présents dans pratiquement tous les programmes informatiques et applications, les composants et bibliothèques open source tiers permettent aux développeurs d’ajouter à ces apps des fonctionnalités de base ou spécifiques, sans avoir à réinventer la roue.
La pratique n’est pas sans risque. Or, la correction de vulnérabilités applicatives résultant de la réutilisation de lignes de code source libre n’est pas le point fort des organisations, relèvent Snyk et la Fondation Linux dans leur rapport « The State of Open Source Security ».
En outre, un projet moyen de développement applicatif présente 49 vulnérabilités et 80 dépendances directes à du code open source. Aussi, 41% des organisations interrogées* n’ont pas une confiance élevée dans la sécurité de leurs logiciels open source. Elles sont plus nombreuses encore (49%) à ne pas avoir de politique de sécurité open source.
Or, la durée nécessaire pour corriger les failles dans ce domaine a plus que doublé en trois ans, passant de 49 jours en 2018 à 110 jours en 2021.
« Les développeurs logiciels ont aujourd’hui leurs propres chaînes d’approvisionnement » a relevé Matt Jarvis, directeur relations développeurs chez Snyk. « Ils assemblent du code en corrigeant les composants open source existants avec leur code unique. Cela peut améliorer l’innovation et la productivité mais aussi créé d’importants problèmes de sécurité. »
Si 25% se disent très concernés par l’impact des dépendances directes sur la sécurité. Ils ne sont plus que 18% à se déclarer confiants quant aux contrôles mis en place pour les dépendances transitives ou indirectes, qui abritent 40% du total des vulnérabilités étudiées.
Malgré tout, la plupart des équipes concernées ne sauraient ignorer les complexités de sécurité que draine l’open source dans la chaîne d’approvisionnement de logiciels.
Snyk et la Fondation Linux, qui prêchent pour leur paroisse, recommandent donc aux entreprises de : définir et deployer une politique de sécurité open source, utiliser davantage l’automatisation pour adapter leur réponse à l’extension de la surface d’attaque, renforcer la relation avec les communautés open source et les fournisseurs de l’écosystème.
*Le rapport est alimenté par une enquête menée auprès de plus de 550 développeurs, mainteneurs, contributeurs et professionnels de la cybersécurité au premier trimestre 2022 et sur des données Snyk (plateforme devsecops).
(crédit photo via Pexels)
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…