La demande des développeurs pour l'open source a augmenté de 73 % l'année dernière et, en 2021, les développeurs du monde entier téléchargeront plus de 2 200 milliards de paquets open source à partir des quatre principaux écosystèmes.Le dernier rapport sur la chaîne logistique logicielle de Sonatype indique une augmentation de 20 % de l'offre également, les quatre principaux écosystèmes open source contenant désormais 37 451 682 versions différentes de composants.
Malgré ce choix énorme, on constate que les applications de production n'utilisent que six pour cent des projets disponibles.
Toutefois, cela se fait au prix d'une augmentation de 650 % des attaques de la chaîne d'approvisionnement des logiciels visant à exploiter les faiblesses des écosystèmes open source en amont. Le rapport révèle que 29 % des versions de projets populaires contiennent au moins une faille de sécurité connue. À l'inverse, ce n'est le cas que de 6,5 % des versions de projets non populaires, ce qui laisse penser que les chercheurs en sécurité - qu'ils soient bons ou mauvais - se concentrent sur les projets les plus utilisés.
"Le rapport de cette année sur l'état de la chaîne logistique logicielle démontre, une fois de plus, que l'open source est à la fois un carburant essentiel pour l'innovation numérique et une cible parfaite pour les attaques de la chaîne logistique logicielle", déclare Matt Howard, vice-président exécutif de Sonatype. "Alors que la demande des développeurs pour l'open source continue de croître de manière exponentielle, notre étude montre pour la première fois la faible proportion de l'offre globale qui est réellement utilisée. De plus, nous savons maintenant que les projets populaires contiennent un nombre disproportionné de vulnérabilités. Cette dure réalité met en évidence à la fois une responsabilité critique et une opportunité pour les responsables de l'ingénierie d'adopter une automatisation intelligente afin de pouvoir standardiser les meilleurs fournisseurs d'open source et d'aider simultanément les développeurs à garder les bibliothèques tierces fraîches et à jour avec des versions optimales."
Entre autres conclusions, les équipes d'ingénierie commerciale ne gèrent que 25 % des composants qu'elles utilisent, ce qui laisse la majorité de leurs dépendances open source périmées et donc susceptibles de présenter des risques de sécurité accrus.
Les résultats montrent également que, grâce à l'automatisation intelligente, une entreprise de taille moyenne comptant 20 équipes de développement d'applications économiserait au total 160 jours de développement par an, soit 192 000 dollars par an.
Source : Sonatype
Et vous ?
Trouvez-vous ce rapport pertinent ou pas ?Voir aussi :
Google propose l'établissement de nouvelles règles pour améliorer la sécurité des logiciels open source, et donne des pistes de réflexion dans ce sens Les failles de sécurité des logiciels open source passent parfois sous les radars de la détection pendant 4 ans avant d'être révélées, en raison des faiblesses du modèle de financement de la sphère Le nombre de vulnérabilités rapportées sur des logiciels open source a doublé en 2019, selon un rapport de RiskSense Le Top 10 des nouvelles vulnérabilités de sécurité de l'open source en 2019, avec des failles dans des projets écrits dans des langages populaires comme JavaScript, Java, Go, selon un rapport