IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les vulnérabilités Open Source constituent des menaces pour la sécurité : 85 % des bases de code utilisent des composants dépassés
Et 88 % des composants qui ne sont pas de la dernière version

Le , par Sandra Coret

26PARTAGES

7  0 
Les logiciels Open Source sont presque présents partout où l'on va sur Internet ou dans tout ce qui implique des connexions numériques. Cependant, ils soulèvent quelques questions quant à leur sécurité. Un rapport publié récemment par Synopsys se penche sur cette question

Les chercheurs se sont penchés sur les risques de sécurité que présentent les logiciels libres disponibles sur le marché. Ils examinent les vulnérabilités, les problèmes de licence et les dangers de l'open-source.

Le rapport fournit des informations surprenantes sur les menaces de sécurité liées à l'open source. Il indique que l'open source est la base de nombreux logiciels construits aujourd'hui. Quelle que soit leur échelle, les industries utilisent l'open source pour leurs activités quotidiennes. Les risques de sécurité liés à l'absence de gestion de l'open source sont transmis à tout ce qui est construit par-dessus.

Les logiciels libres obsolètes sont encore utilisés aujourd'hui. Les rapports mettent en évidence les versions très vulnérables de Log4j qui sont présentes et utilisées en permanence. Au vu des chiffres, 2097 bases de code ont été examinées, et près de 85 % d'entre elles utilisaient des composants qualifiés de dépassés aujourd'hui. Environ 88 % utilisaient des composants qui ne sont pas de la dernière version et présentent des risques pour la sécurité. Enfin, près de 5 % contenaient la version de Log5j, qui présente un risque pour la sécurité.


Comment faire face aux risques posés par les logiciels Open Source ?

Il semblerait que les vulnérabilités des Open Source soient en baisse, comme le montrent les bases de code évaluées. Des évaluations de la sécurité et des risques ont été effectuées sur près de 2097 bases de code évaluées. Il en résulte une diminution des vulnérabilités présentes dans les logiciels Open Source. En outre, une diminution de près de 11 % a été signalée dans les bases de code auditées qui comportaient au moins une vulnérabilité de sécurité. Cette année, le chiffre est fixé à 49 %. OSSRA a signalé une diminution de près de 3 % des vulnérabilités des sources ouvertes. Environ 81 % des bases de code évaluées ont été analysées pour cette statistique.

Le rapport examine également les conflits de licence liés à l'open source. Ils devraient passer de 65 % en 2020 à 53 % en 2021. Il est prévu que les conflits de licence continuent de baisser. Plus de 20 % des bases de code évaluées ne comportaient aucune licence. S'il y en avait une, il s'agissait d'une licence personnalisable. Fondamentalement, l'octroi de licences vous donne le droit d'utiliser un produit particulier à des fins commerciales. L'absence de licence peut, à terme, constituer un risque juridique. Il peut être difficile de procéder à des évaluations juridiques, car elles sont accessibles à tous et partout.

L'analyse complète suggère qu'ils peuvent comporter des menaces sécuritaires et juridiques en raison des multiples vulnérabilités et des problèmes de licence. Toutefois, les arguments en faveur des licences peuvent être défendus. Il n'en reste pas moins que lorsqu'il s'agit d'utiliser des composants obsolètes comme base, cela peut rapidement être oublié et devenir une menace importante.


Source : Synopsys

Et vous ?

Trouvez-vous ce rapport pertinent ?

Voir aussi :

Plus de 35 000 packages Java impactés par les vulnérabilités Log4j, selon un rapport de l'équipe open source de Google

La Maison Blanche s'entretient avec les patrons de Google, Apple, Microsoft, Amazon pour discuter de la sécurité des projets open source, après la vulnérabilité Log4J

Synopsys présente Code Sight Standard Edition pour permettre le développement sécurisé de logiciels, en détectant les vulnérabilités de sécurité dans le code source et les dépendances open source

Le premier correctif de la vulnérabilité critique zero day Log4J a sa propre vulnérabilité qui est déjà exploitée, les entreprises sont exhortées à utiliser le second

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de walfrat
Membre émérite https://www.developpez.com
Le 24/10/2022 à 14:27
Ces chiffres sont à prendre avec prudence.

Il y a plus de détection, car aujourd'hui, il y a certainement une augmentation du nombre d'attaque, mais on y fait beaucoup plus attention qu'il y a dix ans. En outre dire que c'est facile de mettre à jour un composant, c'est de toute évidence ne pas avoir fait un projet en entreprise, ou non seulement faut pas que ça casse, mais faut aussi tout revalider et que le client veuille bien changer la version du composant inscrite dans le contrat (Java en particulier, moins vrai pour une dépendance Maven).
1  0 
Avatar de nl.smart
Membre actif https://www.developpez.com
Le 26/04/2022 à 11:02
Bonjour,

En parlant de composants dépassés ou non mis à jour...

Quelqu'un sait si le protocole samba utilisé par le FAI free dans ses boxes est bien à jour ?

Dans les sources de la boxe il apparait version 3 alors que samba en est à la version 4, ou il y a un truc qui m’échappe, merci pour vos lumières.
0  0 
Avatar de smarties
Membre émérite https://www.developpez.com
Le 24/10/2022 à 14:30
Avec JAVA et tous les tests unitaires,il devrait être relativement simple de mettre à niveau différentes bibliothèques 1-2x/an via Maven
0  0 
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 24/10/2022 à 15:28
Il s'agit d'un job à temps plein dans une équipe de développement. Il faut lire le rapport pour le comprendre lorsque 68% des répondants assurent être à jour alors que 68% des outils comportent des failles en réalité. Il s'agit d'une habitude à prendre. Et il n'y a pas que les Etats-Unis qui s'y mettent : Japon et Europe suivent.
0  0