IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

82 % des composants des logiciels libres sont fondamentalement risqués
D'après un nouveau rapport de la société Lineaje

Le , par Nancy Rey

0PARTAGES

3  1 
Les récentes attaques contre la chaîne d'approvisionnement (SolarWinds, Log4j et 3CX) ont mis en évidence la nécessité de protéger la chaîne d'approvisionnement des logiciels ainsi que les conséquences potentielles d'une mauvaise évaluation de l'intégrité des logiciels. Un nouveau rapport de la société Lineaje, spécialisée dans la gestion de la sécurité de la chaîne d'approvisionnement des logiciels, examine la composition des logiciels libres et évalue les risques associés à leur utilisation.


Ce rapport révèle que 82 % des composants logiciels libres sont intrinsèquement risqués, avec des risques importants dus à des vulnérabilités, des problèmes de sécurité, des problèmes de qualité du code ou de maintenabilité. Ces risques ne sont toutefois pas répartis de manière uniforme, ce qui souligne l'importance d'évaluer en permanence les dépendances des logiciels libres, étant donné que les risques évoluent d'une version à l'autre. La popularité d'un logiciel n'est pas non plus liée au risque qu'il présente : choisir des dépendances en fonction de leur popularité n'est donc pas une méthode d'atténuation des risques.

Les dépendances visibles et directes ne représentent que 10 % de toutes les dépendances qu'un composant open-source attire, tandis que 90 % sont transitives. En outre, 68 % des dépendances dans les logiciels libres proviennent d'autres projets libres, qui à leur tour attirent d'autres projets libres.

L'étude analyse également la provenance de chaque composant et constate que si environ 68 % des composants sont entièrement attestables, le reste ne l'est pas. La capacité à détecter la falsification de la chaîne d'approvisionnement en logiciels est directement liée à l'attestabilité de l'intégrité. En fait, les attaques 3CX récemment signalées, qui découlent de la compromission d'une bibliothèque à code source ouvert, auraient été détectées par un contrôle approfondi de l'intégrité.

Si la majorité des logiciels évalués avaient des composants connus, 3 % présentaient des composants inconnus et 5,3 % avaient été écrits par un auteur non divulgué. L'étude révèle également que 90 % des logiciels ont révélé des vulnérabilités qui ne peuvent être corrigées par les développeurs et qui incluent une dépendance à l'égard d'une source ouverte. Ils ne peuvent être corrigés que par les développeurs des projets dépendants.

« Il est impératif que les organisations comprennent aujourd'hui que tous les logiciels à code source ouvert ne sont pas vérifiés et inviolables, même s'ils sont accessibles via le référentiel le plus accrédité et le plus reconnu. Comme nous l'avons constaté à maintes reprises, le logiciel libre reste un point d'entrée fréquent pour les adversaires. Avec plus de logiciels assemblés que construits, il est plus important que jamais de disposer d'outils et de processus formels pour comprendre l'ADN des logiciels. Les développeurs n'ont pas de vision à rayons X pour voir à l'intérieur d'un composant logiciel qu'ils incluent et la plupart de ceux qui sélectionnent les dépendances open-source ne sont pas des experts en sécurité. En tant qu'industrie, nous avons l'obligation d'évaluer la qualité et la sécurité de ces composants logiciels qui sont construits à gauche de la gauche », déclare Javed Hasan, PDG et cofondateur de Lineaje.

L'analyse de 44 projets, comprenant 41 989 composants et 26 millions de lignes de code, de l'Apache Software Foundation (ASF) et de ses composants open-source dépendants directs et transitoires, révèle que 16 489 vulnérabilités critiques n'ont pas été corrigées et que plus de 40 % de l'ensemble des composants sont considérés comme « à risque critique ». En écho à l'analyse plus générale des logiciels libres, 90 % des logiciels Apache présentent des problèmes qui ne peuvent être corrigés par les membres de l'ASF et les personnes chargées de la mise en place des correctifs.

Source : Lineaje

Et vous ?

Trouvez-vous ce rapport pertinent ? Quel est votre avis sur le sujet ?

Voir aussi :

Pourquoi le développement des logiciels libres « ne serait pas durable », d'après André Staltz

96 % des vulnérabilités connues des logiciels libres peuvent facilement être évitées mais sont ignorés, alors que les attaques de la chaîne d'approvisionnement logicielle ne cesse d'augmenter

France : quels sont les logiciels libres que l'État recommande en 2019 ? La liste des logiciels conseillés publiée officiellement avec le SILL 2019

Les grandes entreprises technologiques et les projets de logiciels libres sont parmi les plus vulnérables aux cyberattaques, d'après une récente étude de AtlasVPN

Une erreur dans cette actualité ? Signalez-nous-la !