IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Logiciels Libres & Open Source Discussion :

Les applications bâties à partir de composants Open Source cumulent en moyenne 24 vulnérabilités critiques


Sujet :

Logiciels Libres & Open Source

  1. #1
    Expert éminent sénior

    Avatar de Siguillaume
    Homme Profil pro
    Conseil - Consultant en systèmes d'information
    Inscrit en
    Août 2007
    Messages
    6 180
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Conseil - Consultant en systèmes d'information
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Août 2007
    Messages : 6 180
    Points : 25 358
    Points
    25 358
    Par défaut Les applications bâties à partir de composants Open Source cumulent en moyenne 24 vulnérabilités critiques
    Open source : de nombreuses applications héritent des failles des composants utilisés
    les corrections de ces dernières se font en moyenne en 390 jours, selon Sonatype

    Nom : vulnerabilité.jpg
Affichages : 4236
Taille : 70,1 Ko

    Sonatype, un éditeur de logiciel spécialisé dans l’open source, vient de publier un rapport plein de surprises. La firme qui dispose d’un des dépôts centraux, les plus fournis, a étudié les mesures prises par plus de 106 000 organisations, dans le développement de leurs logiciels, et surtout sur la manière de bâtir des applications à partir des composants disponibles dans le dépôt.

    L’étude révèle d’importantes failles dans les applications, qui sont héritées des briques open source utilisées. En effet, les points majeurs soulevés dans le rapport se déclinent comme suit:
    • un composant sur 16 téléchargés, soit 6,25%, contient une vulnérabilité connue;
    • la correction d’une vulnérabilité se fait en moyenne en 390 jours, c’est-à-dire plus d’une année, par l’éditeur du composant vulnérable ;
    • une application cumule en moyenne 24 vulnérabilités critiques issues des composants qui la constituent.


    Il ressort également du rapport que plusieurs grosses entreprises et même des organisations financières embarquent ces vulnérabilités dans leurs applications faites maison. En 2014, ce sont 240 747 téléchargements qui ont été effectués par ces sociétés. Et pour les 100 composants les plus téléchargés, 29 grandes entreprises s’exposent à des risques de sécurité majeurs, dus à des composants cachant des failles, avec des cycles de mises à jour assez longs. En plus des institutions financières, on dénombre parmi ces organisations des laboratoires pharmaceutiques et des constructeurs automobiles.

    Alors que dans l’environnement actuel, de plus en plus de développeurs se tournent vers les composants open source pour produire rapidement leurs logiciels, c’est avec raison qu’il convient de tirer la sonnette d’alarme pour exhorter toute la chaîne de développement à davantage de sécurité, en minimisant les risques. Voici le message que veut délivrer ce rapport.

    Derek Weeks, Vice-Président et Avocat du DevOps à Sonatype, rassure qu’ils resteront concentrés sur les trois piliers de leur chaîne d’approvisionnement que sont : Travailler avec les meilleurs fournisseurs dans une sélection très stricte, exiger des livrables de qualité de ces fournisseurs et maintenir la traçabilité et la visibilité sur toute la chaîne.

    Pour information, le dépôt central de Sonatype est constitué de plus de 217 000 composants open source, avec environ 830 000 versions différentes. Sonatype est, d’ailleurs, le dépôt officiel et par défaut de plusieurs composants clés au centre des applications d’aujourd’hui tels que Apache Maven, SBT et d’autres applicatifs basés sur Java. En 2014, c’est environ 17,2 milliards de téléchargements qui ont été effectués à partir du dépôt, ce qui représente le triple du chiffre de l’année 2013.

    Source: Sonatype Software Supply Chain report 2015

    Et vous ?

    Que pensez-vous de rapport ?

    Avez-vous subi les effets d’une vulnérabilité dans un composant que vous auriez utilisé ?

  2. #2
    Invité
    Invité(e)
    Par défaut Héritage ?
    "Open source: de nombreuses applications héritent des failles des composants utilisés, les corrections de ces dernières se font en moyenne en 390 jours"

    héritent : extends ??

  3. #3
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 635
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 635
    Points : 15 838
    Points
    15 838
    Par défaut
    Le fait que des applications héritent des vulnérabilités de leur bibliothèque est une évidence. Et les chiffres ne me surprennent pas. Beaucoup d'applications ne surveillant pas du tout la sécurité.

    Par contre l'article est mal rédigé et laisse penser a problème lié à l'open-source. C'est juste que Sonatype a analysé les données dont il disposait sur des composants open-source a sa disposition, mais les bibliothèques propriétaires sont tout autant à risque.

  4. #4
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juillet 2007
    Messages
    891
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Juillet 2007
    Messages : 891
    Points : 2 046
    Points
    2 046
    Par défaut Faille et open source
    Le probleme touche un peu diferemment les librairies proprietaires. Ces dernieres sont a la fois moins sécurisées et moins diffusées et alors les failles sont moins connu. Il est donc plus difficile de les exploiter mais aussi , les éditeurs, peu au courants des failles, mettent moins a jour leurs produits. Le produits close source est donc moins sujet au hacker du dimanche mais plus simple pour le groupe de hacker avec des moyens plus importants.

  5. #5
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 635
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 635
    Points : 15 838
    Points
    15 838
    Par défaut
    En tout cas de mon expérience, je ne constate aucune différence.
    Les gens utilisent souvent des bibliothèques souvent sans se poser la moindre question y compris la licence, ne mettent pas à jour tant qu'ils ne sont pas confrontés à un bug bloquant.

Discussions similaires

  1. Réponses: 0
    Dernier message: 18/06/2015, 11h17
  2. Réponses: 49
    Dernier message: 02/02/2012, 10h15
  3. Réponses: 9
    Dernier message: 07/01/2012, 19h44
  4. Réponses: 5
    Dernier message: 30/10/2009, 13h28
  5. Recherche d'un composant "open source" : mélange datagrid / treeview
    Par Miles Raymond dans le forum Windows Forms
    Réponses: 7
    Dernier message: 25/11/2008, 22h33

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo