Une nouvelle étude, basée sur les résultats de plus de 1 700 audits de bases de code commerciales et propriétaires impliquées dans des opérations de fusion et d'acquisition, révèle que 84 % d'entre elles contiennent au moins une vulnérabilité open source connue, soit une augmentation de près de 4 % par rapport à l'année dernière.Le rapport Open Source Security and Risk Analysis (OSSRA), produit par le Cybersecurity Research Center (CyRC) de Synopsys, montre une utilisation croissante des logiciels libres. Dans le secteur des technologies de l'éducation, elle a augmenté de 163 %, les cours et les interactions instructeur/étudiant étant de plus en plus poussés en ligne.
Parmi les autres domaines connaissant un fort pic de croissance de l'open source, on trouve le secteur de l'aérospatiale, de l'aviation, de l'automobile, du transport et de la logistique, avec une augmentation de 97 %, et la fabrication et la robotique avec une croissance de 74 %.
Depuis 2019, les vulnérabilités à haut risque dans le secteur du commerce de détail et du commerce électronique ont bondi de 557 %. Le secteur de l'Internet des objets, dont 89 % du code total est open source, a connu une augmentation de 130 % des vulnérabilités à haut risque sur la même période. De même, les secteurs de l'aérospatiale, de l'aviation, de l'automobile, du transport et de la logistique ont connu une augmentation de 232 % des vulnérabilités à haut risque.
Le rapport révèle également que 31 % des bases de code utilisent des logiciels libres sans licence distincte ou avec des licences personnalisées. Il s'agit d'une augmentation de 55 % par rapport au rapport OSSRA de l'année dernière. L'absence de licence associée au code open source, ou une variante d'une autre licence open source, peut imposer des exigences indésirables au titulaire de la licence et nécessitera souvent une évaluation juridique pour d'éventuels problèmes de propriété intellectuelle ou d'autres implications légales.
" La clé pour gérer le risque lié à l'open source à la vitesse du développement moderne est de maintenir une visibilité complète du contenu de l'application ", explique Mike McGuire, responsable senior des solutions logicielles au sein du groupe d'intégrité logicielle de Synopsys. "En intégrant cette visibilité dans le cycle de vie des applications, les entreprises peuvent s'armer des informations nécessaires pour prendre des décisions éclairées et opportunes concernant la résolution des risques. Les organisations qui exploitent tout type de logiciel tiers doivent légitimement supposer qu'il contient des sources ouvertes. Pour le vérifier et maîtriser les risques qui y sont associés, il suffit d'obtenir un SBOM, ce que peut facilement faire un fournisseur qui prend les mesures nécessaires pour sécuriser sa chaîne d'approvisionnement en logiciels."
Source : Synopsys
Et vous ?
Qu'en pensez-vous ? Trouvez-vous ce rapport pertinent ?Voir aussi :
Les vulnérabilités Open Source constituent des menaces pour la sécurité : 85 % des bases de code utilisent des composants dépassés, et 88 % des composants qui ne sont pas de la dernière version 97 % des applications présentent une forme de vulnérabilité, 30 % des cibles présentent des vulnérabilités à haut risque et 6 % des vulnérabilités à risque critique, selon une étude de Synopsys Synopsys présente Code Sight Standard Edition pour permettre le développement sécurisé de logiciels, en détectant les vulnérabilités de sécurité dans le code source et les dépendances open source