Selon un nouveau rapport de la société Lineaje, spécialisée dans la gestion de la sécurité de la chaîne d'approvisionnement des logiciels, 82 % des logiciels libres sont fondamentalement risqués. Le rapport précise que la cause est une combinaison de vulnérabilités majeures, de problèmes de sécurité, de problèmes de qualité du code et de problèmes de maintenance.Les auteurs de l'étude ont ensuite expliqué en détail que 70 % de ce type de logiciels dans l'entreprise étaient des logiciels libres et que ces éléments ne font généralement pas l'objet d'un suivi régulier ni de mises à jour ou d'inventaires. Ces éléments ne font généralement pas l'objet d'un suivi régulier, ni de mises à jour ou d'inventaires, ce qui laisse de sérieuses vulnérabilités dans la chaîne d'approvisionnement des logiciels, qui pourraient être exploitées par d'autres acteurs menaçants.
Cela fait à peine une semaine que la CISA a appelé les fournisseurs de logiciels à prendre les mesures nécessaires pour mettre en place des processus de développement sécurisés qui permettent d'expédier les codes et de garantir des fonctionnalités sécurisées et prêtes à l'emploi.
L'entreprise a également constaté un risque énorme pour ces grandes solutions open-source après avoir pris en considération environ 44 % des projets les plus populaires pour cette fondation. Ils ont alors constaté une dépendance de 68 % à l'égard de logiciels non-Apache, dont les origines et les schémas de mise à jour étaient souvent opaques.
Les auteurs estiment que ces rapports constituent un avertissement clair pour les entreprises concernant les logiciels libres et les risques considérables qu'ils comportent. Et ce, en dépit de leur grande popularité et de la présence de marques bien établies.
[tweet] <blockquote class="twitter-tweet"><p lang="en" dir="ltr">What exactly is in open-source software? How risky can it be? The below infographic sheds insight into some of Lineaje Data Labs’ most recent findings for open-source software. Read the report at <a href="https://t.co/My4Oc4h0ug">https://t.co/My4Oc4h0ug</a>. Attending RSA? Come say hi <a href="https://t.co/Qy5vDS6gzB">https://t.co/Qy5vDS6gzB</a> <a href="https://t.co/lkZWZluB2L">pic.twitter.com/lkZWZluB2L</a></p>— Lineaje (@Lineaje_Inc) <a href="https://twitter.com/Lineaje_Inc/status/1648340787443249152?ref_src=twsrc%5Etfw">April 18, 2023</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script> [/tweet]
De même, étant donné que de plus en plus de logiciels sont assemblés au lieu d'être construits, il devient plus important que jamais de créer des outils formels qui découvrent l'ADN du logiciel. Les développeurs n'ont donc pas de vision aux rayons X pour voir ce qui se trouve à l'intérieur du composant logiciel. De même, la plupart des sélectionneurs de logiciels libres ne sont même pas des experts en sécurité. On ne peut donc qu'imaginer les dégâts qui pourraient en résulter.
Le fait que 64 % de ces vulnérabilités n'aient pas de solution en place à l'heure actuelle signifie qu'elles ne peuvent pas être corrigées. Les entreprises doivent donc être sensibilisées au problème et prendre des mesures proactives pour gérer ces risques.
D'autre part, cette étude fournit également des recommandations aux organisations qui déploient des outils pour la gestion de la chaîne d'approvisionnement. De cette manière, vous pouvez évaluer les différents risques dynamiques ainsi que l'intégrité des différents projets en cours.
Comme vous pouvez le constater, le risque est grand et il appartient aux entreprises de prendre en compte les avertissements avant qu'il ne soit trop tard.
Source : Lineaje
Et vous ?
Trouvez-vous cette étude crédible ? Quel est votre avis sur le sujet ?Voir aussi :
94 % des entreprises ont rencontré des problèmes de sécurité dans leurs API de production au cours de l'année écoulée, 20 % d'entre elles ont déclaré que cela avait entraîné une violation des données Les problèmes de qualité des logiciels coûteraient à l'économie américaine 2*410 milliards de $ en 2022, contre 1 310 milliards de $ il y a deux ans, selon Synopsys 41 % des entreprises n'ont pas une grande confiance dans la sécurité de leurs logiciels open source, leur utilisation généralisée entraînant des risques importants 53 % des entreprises évitent les logiciels open source par crainte d'une augmentation des cyberattaques, en l'absence de solutions pour corriger les vulnérabilités et les failles de sécurité 
Mais il est vrai qu'il faut dans tous les cas prendre en compte les avertissements, évaluer les risques, et appliquer les bonnes procédures face aux vulnérabilités, à la maintenance, etc... quel que soit le logiciel ou système, et surtout s'il est privateur et que sa licence interdit qu'on examine son "ADN".
