Ce rapport révèle que 82 % des composants logiciels libres sont intrinsèquement risqués, avec des risques importants dus à des vulnérabilités, des problèmes de sécurité, des problèmes de qualité du code ou de maintenabilité. Ces risques ne sont toutefois pas répartis de manière uniforme, ce qui souligne l'importance d'évaluer en permanence les dépendances des logiciels libres, étant donné que les risques évoluent d'une version à l'autre. La popularité d'un logiciel n'est pas non plus liée au risque qu'il présente : choisir des dépendances en fonction de leur popularité n'est donc pas une méthode d'atténuation des risques.Les dépendances visibles et directes ne représentent que 10 % de toutes les dépendances qu'un composant open-source attire, tandis que 90 % sont transitives. En outre, 68 % des dépendances dans les logiciels libres proviennent d'autres projets libres, qui à leur tour attirent d'autres projets libres.L'étude analyse également la provenance de chaque composant et constate que si environ 68 % des composants sont entièrement attestables, le reste ne l'est pas. La capacité à détecter la falsification de la chaîne d'approvisionnement en logiciels est directement liée à l'attestabilité de l'intégrité. En fait, les attaques 3CX récemment signalées, qui découlent de la compromission d'une bibliothèque à code source ouvert, auraient été détectées par un contrôle approfondi de l'intégrité.Si la majorité des logiciels évalués avaient des composants connus, 3 % présentaient des composants inconnus et 5,3 % avaient été écrits par un auteur non divulgué. L'étude révèle également que 90 % des logiciels ont révélé des vulnérabilités qui ne peuvent être corrigées par les développeurs et qui incluent une dépendance à l'égard d'une source ouverte. Ils ne peuvent être corrigés que par les développeurs des projets dépendants.« Il est impératif que les organisations comprennent aujourd'hui que tous les logiciels à code source ouvert ne sont pas vérifiés et inviolables, même s'ils sont accessibles via le référentiel le plus accrédité et le plus reconnu. Comme nous l'avons constaté à maintes reprises, le logiciel libre reste un point d'entrée fréquent pour les adversaires. Avec plus de logiciels assemblés que construits, il est plus important que jamais de disposer d'outils et de processus formels pour comprendre l'ADN des logiciels. Les développeurs n'ont pas de vision à rayons X pour voir à l'intérieur d'un composant logiciel qu'ils incluent et la plupart de ceux qui sélectionnent les dépendances open-source ne sont pas des experts en sécurité. En tant qu'industrie, nous avons l'obligation d'évaluer la qualité et la sécurité de ces composants logiciels qui sont construits à gauche de la gauche », déclare Javed Hasan, PDG et cofondateur de Lineaje.L'analyse de 44 projets, comprenant 41 989 composants et 26 millions de lignes de code, de l'Apache Software Foundation (ASF) et de ses composants open-source dépendants directs et transitoires, révèle que 16 489 vulnérabilités critiques n'ont pas été corrigées et que plus de 40 % de l'ensemble des composants sont considérés comme « à risque critique ». En écho à l'analyse plus générale des logiciels libres, 90 % des logiciels Apache présentent des problèmes qui ne peuvent être corrigés par les membres de l'ASF et les personnes chargées de la mise en place des correctifs.Source : Lineaje Trouvez-vous ce rapport pertinent ? Quel est votre avis sur le sujet ?