Open source : de nombreuses applications héritent des failles des composants utilisés
les corrections de ces dernières se font en moyenne en 390 jours, selon Sonatype
Sonatype, un éditeur de logiciel spécialisé dans l’open source, vient de publier un rapport plein de surprises. La firme qui dispose d’un des dépôts centraux, les plus fournis, a étudié les mesures prises par plus de 106 000 organisations, dans le développement de leurs logiciels, et surtout sur la manière de bâtir des applications à partir des composants disponibles dans le dépôt.
L’étude révèle d’importantes failles dans les applications, qui sont héritées des briques open source utilisées. En effet, les points majeurs soulevés dans le rapport se déclinent comme suit:
- un composant sur 16 téléchargés, soit 6,25%, contient une vulnérabilité connue;
- la correction d’une vulnérabilité se fait en moyenne en 390 jours, c’est-à-dire plus d’une année, par l’éditeur du composant vulnérable ;
- une application cumule en moyenne 24 vulnérabilités critiques issues des composants qui la constituent.
Il ressort également du rapport que plusieurs grosses entreprises et même des organisations financières embarquent ces vulnérabilités dans leurs applications faites maison. En 2014, ce sont 240 747 téléchargements qui ont été effectués par ces sociétés. Et pour les 100 composants les plus téléchargés, 29 grandes entreprises s’exposent à des risques de sécurité majeurs, dus à des composants cachant des failles, avec des cycles de mises à jour assez longs. En plus des institutions financières, on dénombre parmi ces organisations des laboratoires pharmaceutiques et des constructeurs automobiles.
Alors que dans l’environnement actuel, de plus en plus de développeurs se tournent vers les composants open source pour produire rapidement leurs logiciels, c’est avec raison qu’il convient de tirer la sonnette d’alarme pour exhorter toute la chaîne de développement à davantage de sécurité, en minimisant les risques. Voici le message que veut délivrer ce rapport.
Derek Weeks, Vice-Président et Avocat du DevOps à Sonatype, rassure qu’ils resteront concentrés sur les trois piliers de leur chaîne d’approvisionnement que sont : Travailler avec les meilleurs fournisseurs dans une sélection très stricte, exiger des livrables de qualité de ces fournisseurs et maintenir la traçabilité et la visibilité sur toute la chaîne.
Pour information, le dépôt central de Sonatype est constitué de plus de 217 000 composants open source, avec environ 830 000 versions différentes. Sonatype est, d’ailleurs, le dépôt officiel et par défaut de plusieurs composants clés au centre des applications d’aujourd’hui tels que Apache Maven, SBT et d’autres applicatifs basés sur Java. En 2014, c’est environ 17,2 milliards de téléchargements qui ont été effectués à partir du dépôt, ce qui représente le triple du chiffre de l’année 2013.
Source: Sonatype Software Supply Chain report 2015
Et vous ?
Que pensez-vous de rapport ?
Avez-vous subi les effets d’une vulnérabilité dans un composant que vous auriez utilisé ?
Partager