
Un logiciel libre est un logiciel dont l'utilisation, l'étude, la modification et la duplication par autrui en vue de sa diffusion sont permises, techniquement et légalement, ceci afin de garantir certaines libertés induites, dont le contrôle du programme par l'utilisateur et la possibilité de partage entre individus. Selon Sonatype, de tels logiciels sont en utilisation croissante dans les sociétés malgré les rapports de vulnérabilité et les discussions que ses rapports suscitent. Au cours des 12 derniers mois, l’utilisation des composants open source vulnérables a augmenté de 120 % en glissement annuel.
Dans son rapport de 2017, Sonatype attirait l’attention sur le fait que toutes les entreprises devenaient des sociétés de logiciels. Mais, selon la société, cette année la situation est passée à un autre niveau. Tous les types d’entreprises recrutent une armée de développeurs de logiciels et consomment des quantités extraordinaires de composants open source. Selon Sonatype, de nombreuses cyberattaques de grande envergure ont montré que les cybercriminels procèdent également en créant des vulnérabilités de sécurité dans la chaîne logistique des logiciels, y compris des logiciels libres.
11 exemples de cyberattaques récentes ont été cités qui montrent que ces attaquants ont commencé à injecter des failles directement dans des projets open source. A titre d’exemple, Gilbertson a signalé un package npm malveillant capable de collecter les numéros des cartes de crédits sur des centaines de sites Web.
La majorité des vulnérabilités relevées par la Société de logiciels repose sur la manipulation des npm et 1,3 millions des vulnérabilités découvertes dans les composants de logiciels open source ne sont pas dans la base de données publique des vulnérabilités NDV, c’est-à-dire qu’elles sont nouvelles par conséquent, difficiles à traiter, selon Sonatype.
En outre, Sonatype estime que 170 000 composants open sources sont téléchargés par une entreprise moyenne par an, dont un est vulnérable sur huit. Aussi, Sonatype a découvert le temps moyen pour exploiter les vulnérabilités qui est de 3 jours. Ces données rendent plus difficile la situation pour les entreprises qui utilisent des logiciels open source vulnérables.
Toutefois, la cyberattaque, facilitée par un composant open source vulnérable connu du projet Apache Struts dont a été victime Equifax en 2017 a suscité un débat sur les dépendances sécuritaires des chaînes d’approvisionnement en logiciels. Cependant, ce débat n’a pas vraiment enseigné les entreprises qui continuent de télécharger des versions du composant vulnérable presqu’à la même allure (environ 80 000 téléchargements par mois) que l’an dernier où l’attaque a eu lieu. Le taux de téléchargement d’un autre framework vulnérable appelé Spring n’a diminué que de 15 % en passant de 85 000 l’an dernier à 72 000 cette année.
Ayant basé son enquête sur un large éventail de données publiques et propriétaires ainsi que sur des recherches et analyses d'experts, Sonatype est parvenu à un ensemble de mesures, qui mises en œuvres, pourraient réduire les risques de violation en éliminant les composants logiciels vulnérables. Ce sont l’automatisation du cycle de développement des logiciels, une analyse étendue des langages et des écosystèmes de développement afin de donner une image plus robuste de l’ensemble du système, la prise en main par les gouvernements de la réglementation sur le monde des logiciels libres, au lieu de l’autorégulation par les organisations.
Source : Rapport de Sonatype, Blog de Sonatype
Et vous ?

Voir aussi





Vous avez lu gratuitement 650 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.