Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sécurité de l’Open Source : Selon Veracode, 80 % des bibliothèques utilisées dans les logiciels ne sont jamais mises à jour

juin 2021 par Veracode

Veracode dévoile les résultats de son dernier rapport. Celui-ci révèle que près de 80 % des bibliothèques tierces ne sont jamais mises à jour par les développeurs après avoir été intégrées dans une base de code. Pourtant, plus de deux tiers des corrections sont mineures et ne perturbent pas la fonctionnalité des applications logicielles, même les plus complexes. Les bibliothèques open source évoluent constamment, de sorte que ce qui semble sûr aujourd’hui peut ne plus l’être demain, ce qui peut créer un risque de sécurité important pour les fournisseurs de logiciels et leurs utilisateurs. L’étude Veracode State of Software Security (SoSS) v11 : Open Source Edition a analysé 13 millions de scans de plus de 86 000 dépôts contenant plus de 301 000 bibliothèques uniques, et a également interrogé près de 2 000 développeurs pour comprendre comment ils utilisent les logiciels tiers.

Le rapport de Veracode révèle également des fluctuations notables dans la popularité et la vulnérabilité des bibliothèques d’une année sur l’autre. Par exemple, quatre des cinq bibliothèques les plus populaires en Ruby en 2019 n’étaient plus dans le top 10 en 2020, tandis que certaines des bibliothèques les plus vulnérables en Go en 2019 sont devenues moins vulnérables en 2020, et vice versa. Etant donné que presque toutes les applications modernes sont construites à l’aide des bibliothèques open source tierces, une seule faille ou un seul ajustement dans une bibliothèque peut se répercuter en cascade sur toutes les applications utilisant ce code, ce qui signifie que ces changements constants ont un impact direct sur la sécurité des logiciels.

Presque tous les référentiels comprennent des bibliothèques présentant au moins une vulnérabilité. Chris Eng, directeur de la recherche chez Veracode, explique : « La grande majorité des applications actuelles utilisent du code open source. La sécurité d’une bibliothèque peut changer rapidement, il est donc crucial de garder un inventaire à jour de ce qui se trouve dans votre application. Nous avons constaté qu’une fois que les développeurs ont choisi une bibliothèque, ils la mettent rarement à jour. Les fournisseurs étant soumis à un examen de plus en plus minutieux de la sécurité de leur chaîne d’approvisionnement, il n’est tout simplement pas possible d’adopter une vision du type "mettez-le en place et oubliez-le". Il est essentiel que les développeurs maintiennent ces composants à jour et répondent rapidement aux nouvelles vulnérabilités dès qu’elles sont découvertes. »

La création d’applications sécurisées à l’aide de code source ouvert ne doit pas être une tâche difficile

Malgré la nature dynamique du paysage logiciel, il est fréquent que les développeurs ne mettent pas à jour les bibliothèques open source après les avoir intégrées dans des applications logicielles. L’un des obstacles réside dans le manque de compréhension contextuelle sur la façon dont une bibliothèque vulnérable est liée à leur application. Par exemple, les développeurs qui déclarent ne pas disposer de ces informations mettent plus de sept mois pour corriger 50 % des failles, alors que ce délai se réduit à trois semaines lorsqu’ils disposent des informations et outils appropriés. En outre, ils peuvent réagir rapidement lorsqu’ils sont avertis de la présence d’une bibliothèque vulnérable : 17 % des failles peuvent être corrigées en une heure et 25 % en une semaine. Ainsi, lorsqu’ils disposent d’informations précises en temps utile, les développeurs peuvent donner la priorité à la sécurité et remédier rapidement aux failles.

Autres résultats clés :
• 92 % des failles des bibliothèques open source peuvent être corrigées par une mise à jour, et 69 % des mises à jour ne sont que des changements de version mineurs ;
• Même lorsqu’une mise à jour d’une bibliothèque open source entraîne des mises à jour supplémentaires, près des deux tiers d’entre elles ne constituent qu’un changement de version mineur et ne risquent pas d’interrompre les fonctionnalités des applications les plus complexes ;
• Seuls 52 % des développeurs interrogés disposent d’un processus formel de sélection des bibliothèques tierces, tandis que plus d’un quart d’entre eux ne sont pas sûrs - voire ignorent - qu’un processus formel est en place ;
• La « sécurité » n’est que le troisième critère de sélection d’une bibliothèque, tandis que la « fonctionnalité » et la « licence » occupent respectivement la première et la deuxième place.

La sécurisation de la chaîne d’approvisionnement en logiciels retient l’attention de la Maison Blanche

Le mois dernier, la Maison Blanche a publié un décret sur la cybersécurité, dont près d’un quart porte sur la sécurisation de la chaîne d’approvisionnement des logiciels. À l’avenir, les fournisseurs de logiciels qui vendent au gouvernement fédéral seront tenus de divulguer la composition de leurs logiciels et de s’assurer que les applications logicielles ont été soumises à des tests automatisés.

Chris Wysopal, cofondateur et CTO chez Veracode, a déclaré : « Alors que le décret continue de prendre forme, toute personne qui développe des logiciels doit s’assurer qu’elle les analyse tôt et souvent dans le cycle de développement. La popularité croissante des logiciels open source, associée à des cycles de développement de plus en plus exigeants, entraîne une plus grande propension aux vulnérabilités logicielles. L’analyse plus tôt dans le processus réduit considérablement les risques, et la plupart des corrections seront mineures et n’auront donc pas d’impact sur la sécurité. »




Voir les articles précédents

    

Voir les articles suivants