Le monde informatique s'aligne de plus en plus derrière l'open source. Cependant, à mesure que l’intérêt pour l’open source grandit, la courbe des vulnérabilités qu’ils renferment croît également. Selon un nouveau rapport de RiskSense, leur nombre a doublé au cours de l’année 2019. Cette conclusion rejoint celle d’un précédent rapport de WhiteSource publié en mars dernier. Celui-ci a aussi montré que le nombre de vulnérabilités rapportées sur des logiciels open source a augmenté de près de 50 % en 2019.
RiskSense assure la gestion des vulnérabilités et l'établissement de priorités pour mesurer et contrôler le risque de cybersécurité. Parmi les principales conclusions du rapport, RiskSense note que le nombre total de vulnérabilités dans les logiciels libres a plus que doublé en 2019, passant de 421 vulnérabilités et expositions communes (CVE) en 2018 à 968 l'année dernière. Cela représente une augmentation de 130 % par rapport à 2018. En se basant sur cette augmentation, RiskSense estime que 2019 a été une année charnière pour les vulnérabilités des logiciels libres.
L'étude révèle également qu'il faut beaucoup de temps pour que les vulnérabilités des logiciels soient ajoutées à la base de données nationale sur les vulnérabilités (NVD). Selon le rapport d’étude, il se passe en moyenne 54 jours entre la divulgation publique et l'inclusion. Ainsi, les organisations restent exposées à de sérieux risques de sécurité des applications pendant près de deux mois. RiskSense estime que ces très longs délais s’observent dans toutes les catégories de vulnérabilités, même celles qui sont classées “critiques” et celles qui ont été transformées en armes.
Cela signifie que le risque d'exploitation reste toujours présent dans la nature. Selon RiskSense, les vulnérabilités couvrent toutes les phases du développement moderne. C’est-à-dire de la conception au développement, en passant par les conteneurs et les charges de travail. « Alors que l’open source est considéré comme étant plus sûr que les logiciels commerciaux, car il est soumis à des examens pour trouver des problèmes, cette nouvelle étude montre que les vulnérabilités des logiciels libres sont en augmentation et peuvent être un angle mort pour de nombreuses organisations », a déclaré Srinivas Mukkamala, PDG de RiskSense.
Jenkins a le plus de CVE au total avec 646, suivi de près par MySQL avec 624
Plus loin dans le rapport, RiskSense a expliqué que c’est le serveur d'automatisation Jenkins qui a le plus de CVE au total avec 646, suivi de près par MySQL avec 624. Ces deux projets open source sont également à égalité en ce qui concerne les vulnérabilités les plus militarisées avec 15 chacun. En outre, le projet Vagrant de HashiCorp a 9 CVE au total, mais 6 d'entre eux sont des vulnérabilités militarisées, ce qui en fait l'un des projets open source les plus militarisés en termes de pourcentage. Apache Tomcat, Magento, Kubernetes, Elasticsearch, et JBoss ont tous aussi des vulnérabilités qui étaient tendance ou populaires dans les attaques.
Les vulnérabilités du Cross-Site Scripting (XSS) et de la validation des entrées sont parmi les types de vulnérabilités les plus courantes et les plus militarisées de l'étude. Les problèmes de XSS sont le deuxième type de vulnérabilités le plus courant, mais le plus armé. Les problèmes de validation des données sont les troisièmes plus courants et les deuxièmes plus importants. Cette étude du cabinet RiskSense a des similitudes avec une étude précédente menée par WhiteSource. Elle a montré que les vulnérabilités des logiciels open source divulguées en 2019 ont grimpé à plus de 6000, en hausse de près de 50 %.
Selon WhiteSource, cela peut être attribué à l'augmentation de la sensibilisation à la sécurité open source suite à l'adoption généralisée de composants open source et à la croissance massive de la communauté open source au cours des dernières années, ainsi qu'à l'attention des médias dirigée contre les récentes violations de données. Le nombre de vulnérabilités Open Source signalées a augmenté de près de 50 % en 2019. La bonne nouvelle est que plus de 85 % des vulnérabilités open source ont déjà été révélées et que des correctifs sont déjà disponibles.
« Les géants de la Tech ont massivement investi dans une meilleure sécurisation et dans la gestion des projets open source au cours des dernières années, et la communauté travaille d'arrache-pied à la recherche sur la sécurité pour publier les vulnérabilités de sécurité open source récemment découvertes avec un correctif. Le correctif sera généralement une version mise à jour ou un correctif pour le code vulnérable », a écrit WhiteSource. Cependant, les informations sur les vulnérabilités ne sont pas publiées dans un emplacement centralisé.
Elles sont dispersées sur des centaines de ressources, et parfois mal indexées, ce qui complique souvent la recherche de données spécifiques. Seulement 84 % des vulnérabilités open source connues apparaissent dans le NVD. Bien que 45 % des vulnérabilités open source signalées ne soient pas initialement signalées au NVD, beaucoup finissent publiées dans le NVD, des mois après avoir été signalé dans d'autres ressources. Selon les données de WhiteSource, seulement 29 % de toutes les vulnérabilités open source signalées en dehors de la NVD y sont finalement publiées.
Les auteurs du rapport de WhiteSource ont conclu que le point le plus important à retenir est que ce n'est pas parce que les projets open source populaires possèdent des vulnérabilités qu'ils sont intrinsèquement non-sécurisés. Cela signifie seulement qu'en tant qu'utilisateur de projets open source, vous devez être conscient des risques de sécurité et vous assurer de maintenir à jour vos dépendances open source. Les composants open source font désormais partie intégrante de nos projets logiciels. Le paysage des vulnérabilités open source peut sembler complexe et difficile au premier abord, mais il existe des moyens de gagner en visibilité et en contrôle sur les composants open source qui composent les produits.
Source : Rapport de l’étude
Et vous ?
Que pensez-vous des résultats de cette étude ? Pertinents ou pas ?
Comment assurez-vous la sécurité des logiciels libres que vous utilisez ?
Voir aussi
Le nombre de vulnérabilités rapportées sur des logiciels open source a augmenté de près de 50% en 2019, selon un rapport
Le Top 10 des nouvelles vulnérabilités de sécurité de l'open source en 2019 avec des failles dans des projets écrits dans des langages populaires comme JavaScript, Java, Go, selon un rapport
Les vulnérabilités de la chaîne logistique des logiciels libres ont doublé en 1 an. Cependant, leur utilisation a augmenté de 120 % selon un rapport.
Le nombre de vulnérabilités rapportées sur des logiciels open source a doublé en 2019,
Selon un rapport de RiskSense
Le nombre de vulnérabilités rapportées sur des logiciels open source a doublé en 2019,
Selon un rapport de RiskSense
Le , par Bill Fassinou
Une erreur dans cette actualité ? Signalez-nous-la !