IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

96 % des vulnérabilités connues des logiciels libres peuvent facilement être évitées mais sont ignorés
Alors que les attaques de la chaîne d'approvisionnement logicielle ne cesse d'augmenter

Le , par Sandra Coret

13PARTAGES

11  0 
La consommation de logiciels libres n'ayant jamais été aussi importante, les attaques visant la chaîne d'approvisionnement en logiciels ont également augmenté, tant en fréquence qu'en complexité. Un nouveau rapport révèle une augmentation de 633 % d'une année sur l'autre des attaques malveillantes visant l'open source dans les référentiels publics -- ce qui équivaut à une augmentation annuelle moyenne de 742 % des attaques de la chaîne d'approvisionnement logicielle depuis 2019.

Le dernier rapport State of the Software Supply Chain Report de Sonatype, publié aujourd'hui au DevOps Enterprise Summit, révèle également que 96 % des téléchargements de Java open source présentant des vulnérabilités connues auraient pu être évités parce qu'une meilleure version était disponible, mais qu'ils ont été ignorés.

"Ce résultat étonnant souligne à quel point il est essentiel pour les équipes d'ingénieurs de continuer à se former aux risques liés aux logiciels libres et d'adopter une automatisation intelligente pour soutenir leurs efforts. Les humains sont faillibles, et la marée écrasante de renseignements sur les dépendances que les développeurs doivent interpréter dans leur processus de développement quotidien va à l'encontre de la priorité accordée à la bonne qualité des logiciels ", déclare Brian Fox, cofondateur et directeur technique de Sonatype. " La bonne nouvelle, c'est que le rapport de cette année montre également qu'une gestion "optimale" des dépendances est possible. En outre, malgré l'attention constante portée à la tentative de " réparer l'open source ", les données montrent que les consommateurs d'open source peuvent apporter des changements immédiats qui auront un impact profond sur leur capacité à remédier et à répondre au prochain événement. "

Le rapport montre également un écart entre la sécurité perçue et la réalité dans le développement de logiciels. 68 % des personnes interrogées sont convaincues que leurs applications n'utilisent pas de bibliothèques vulnérables connues, mais dans un échantillon aléatoire d'applications d'entreprise, 68 % contenaient des vulnérabilités connues.


L'enquête révèle un biais permanent, les responsables faisant état de niveaux de maturité plus élevés que les autres. Cela n'est peut-être pas surprenant, car l'application Java moyenne contient 148 dépendances (20 de plus que l'année dernière), et le projet Java moyen est mis à jour 10 fois par an - ce qui signifie que les développeurs sont chargés de suivre les informations sur près de 1 500 changements de dépendances par an, par application sur laquelle ils travaillent.

"Le rapport de cette année sur l'état de la chaîne logistique logicielle montre à quel point l'open source et le développement logiciel sont en constante évolution, et qu'il est impératif d'évoluer avec eux", ajoute M. Fox. "Nos recherches montrent que le nombre de dépendances par projet open source est en augmentation, et que ces dépendances sont un facteur critique de risque. Les organisations immatures attendent de leurs développeurs qu'ils restent au fait des questions de conformité aux licences, des multiples versions de projets, des changements de dépendances et de la connaissance de l'écosystème open source, en plus de leurs responsabilités professionnelles habituelles. Cela s'ajoute à des pressions externes comme la rapidité. Il n'est pas surprenant que la satisfaction professionnelle soit fortement liée à la maturité des pratiques de la chaîne logistique logicielle. Cette réalité qui donne à réfléchir démontre le besoin immédiat pour les organisations de donner la priorité à la gestion de l'offre logicielle afin de mieux gérer les risques de sécurité, d'augmenter l'efficacité des développeurs et de permettre une innovation plus rapide."

Source : Sonatype

Et vous ?

Que pensez-vous de ce rapport ? le trouvez-vous pertinent ?

Voir aussi :

Les vulnérabilités Open Source constituent des menaces pour la sécurité : 85 % des bases de code utilisent des composants dépassés, et 88 % des composants qui ne sont pas de la dernière version

Alors que 80 % des entreprises utilisent des logiciels open source (OSS), chiffre qui devrait atteindre 99 % l'année prochaine, seulement 1 % d'entre elles déclare ne pas s'inquiéter de la sécurité

41 % des entreprises n'ont pas une grande confiance dans la sécurité de leurs logiciels open source, leur utilisation généralisée entraînant des risques importants

Google lance un nouveau programme de récompense pour les vulnérabilités des logiciels open source (OSS VRP), les récompenses vont de 100 à 31 337 dollars, en fonction de la gravité de la vulnérabilité

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de walfrat
Membre émérite https://www.developpez.com
Le 24/10/2022 à 14:27
Ces chiffres sont à prendre avec prudence.

Il y a plus de détection, car aujourd'hui, il y a certainement une augmentation du nombre d'attaque, mais on y fait beaucoup plus attention qu'il y a dix ans. En outre dire que c'est facile de mettre à jour un composant, c'est de toute évidence ne pas avoir fait un projet en entreprise, ou non seulement faut pas que ça casse, mais faut aussi tout revalider et que le client veuille bien changer la version du composant inscrite dans le contrat (Java en particulier, moins vrai pour une dépendance Maven).
1  0 
Avatar de smarties
Expert confirmé https://www.developpez.com
Le 24/10/2022 à 14:30
Avec JAVA et tous les tests unitaires,il devrait être relativement simple de mettre à niveau différentes bibliothèques 1-2x/an via Maven
0  0 
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 24/10/2022 à 15:28
Il s'agit d'un job à temps plein dans une équipe de développement. Il faut lire le rapport pour le comprendre lorsque 68% des répondants assurent être à jour alors que 68% des outils comportent des failles en réalité. Il s'agit d'une habitude à prendre. Et il n'y a pas que les Etats-Unis qui s'y mettent : Japon et Europe suivent.
0  0