41 % des entreprises n'ont pas une grande confiance dans la sécurité de leurs logiciels open source, leur utilisation généralisée entraînant des risques importantsSelon un nouveau rapport de la société de sécurité des développeurs Snyk et de la Fondation Linux, Le projet moyen de développement d'applications comporte 49 vulnérabilités et 80 dépendances directes (code open source appelé par un projet).
De plus, le temps nécessaire pour corriger les vulnérabilités des projets open source n'a cessé d'augmenter, faisant plus que doubler, passant de 49 jours en 2018 à 110 jours en 2021.
"Les développeurs de logiciels ont aujourd'hui leurs propres chaînes d'approvisionnement -- au lieu d'assembler des pièces de voiture, ils assemblent du code en patchant ensemble des composants open source existants avec leur code unique. Si cette situation entraîne une augmentation de la productivité et de l'innovation, elle a également créé des problèmes de sécurité importants", explique Matt Jarvis, directeur des relations avec les développeurs chez Snyk. "Ce rapport, le premier du genre, a trouvé de nombreuses preuves suggérant une naïveté de l'industrie quant à l'état actuel de la sécurité des logiciels libres. En collaboration avec la Fondation Linux, nous prévoyons d'exploiter ces résultats pour éduquer et équiper davantage les développeurs du monde entier, leur permettant ainsi de continuer à construire rapidement, tout en restant en sécurité."
Parmi les autres résultats, seuls 49 % des organisations disposent d'une politique de sécurité pour le développement ou l'utilisation des logiciels libres (et ce chiffre n'est que de 27 % pour les moyennes et grandes entreprises). Tandis que 30 % des organisations sans politique de sécurité des logiciels libres reconnaissent ouvertement que personne dans leur équipe ne s'occupe directement de la sécurité des logiciels libres.
La complexité de la chaîne d'approvisionnement est également un problème, plus d'un quart des répondants à l'enquête indiquent qu'ils sont préoccupés par l'impact sur la sécurité de leurs dépendances directes. Seuls 18 % se disent confiants dans les contrôles qu'ils ont mis en place pour ces dépendances et 40 % de toutes les vulnérabilités ont été découvertes dans des dépendances transitives.
Source : Snyk
Et vous ?
Trouvez-vous ce rapport pertinent ? Qu'en est-il au sein de votre entreprise ?Voir aussi :
La Maison Blanche, la Fondation Linux, OpenSSF et 37 entreprises technologiques ont annoncé un plan de sécurité des logiciels Open Source en 10 points, et un financement de 150 millions de dollars Les vulnérabilités Open Source constituent des menaces pour la sécurité : 85 % des bases de code utilisent des composants dépassés, et 88 % des composants qui ne sont pas de la dernière version Les développeurs Open source consacreraient moins de 3 % de leur temps à la sécurité, selon une nouvelle enquête de l'Open Source Security Foundation (OpenSSF) et du Laboratory for Innovation Science
Vous avez lu gratuitement 2 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Envoyé par gabriel21
