"Le récent rapport de Trellix détaillant la présence d’une vulnérabilité de traversée de répertoire non corrigée vieille de 15 ans (CVE-2007-4559) dans le module tarfile de Python, une bibliothèque utilisée pour lire et écrire des fichiers archivés sur bande (tar), expose potentiellement plus de 350 000 dépôts open source qui l’utilisent dans leurs projets. Cette situation rappelle les défis que pose l’intégration de code source ouvert dans les projets logiciels, en particulier ceux utilisés dans les environnements d’entreprise.

"Alors que les retombées de la découverte de Log4Shell dans la bibliothèque Log4j remontent à près d’un an, les chercheurs continuent d’identifier des faiblesses dans la chaîne d’approvisionnement, ce qui souligne le besoin continu de ressources supplémentaires pour aider à identifier et à traiter les vulnérabilités dans certaines des bibliothèques et des logiciels les plus courants utilisés aujourd’hui par les organisations.

"Des initiatives telles que les niveaux de la chaîne d’approvisionnement pour les artefacts logiciels (SLSA) et l’inventaire logiciels (SBOM), ainsi que des projets tels qu’Alpha-Omega sous l’égide de l’Open Source Security Foundation, sont conçus pour combler le fossé de la sécurité au sein de la communauté open source, car de nombreux développeurs sont souvent des contributeurs non rémunérés qui donnent de leur temps. Il n’existe pas de solution unique pour résoudre le problème de la sécurité de la chaîne d’approvisionnement des logiciels, mais les propositions ci-dessus offrent la possibilité de contribuer à faire une différence significative. Des rapports comme celui-ci ne seront certainement pas les derniers, c’est pourquoi la poursuite des initiatives ci-dessus est cruciale."