41% des entreprises n'ont pas confiance dans la sécurité des logiciels open source selon une étude de Snyk et de la Fondation Linux

Par:
fredericmazue

mer, 22/06/2022 - 11:11

Snyk  et La Fondation Linux ont dévoilé les résultats de leur première étude commune : The State of Open Source Security. Les résultats de l’étude exposent les risques critiques de sécurité liés à l'utilisation généralisée des logiciels open source dans le développement d'applications modernes et le fait que de nombreuses entreprises restent insuffisamment préparées à réagir face à ces risques.

Les points clés de l’étude :

  • Plus de quatre entreprises sur dix (41%) n'ont pas confiance dans la sécurité de leurs logiciels open source
  • Un projet de développement d'applications comporte en moyenne 49 vulnérabilités et 80 dépendances directes
  • Le temps nécessaire pour corriger les vulnérabilités des projets open source augmente continuellement, et a presque doublé entre 2018 et 2021, passant de 49 jours à 110 jours

"Aujourd'hui, les développeurs ont leurs propres chaînes d'approvisionnement - ils assemblent du code en intégrant des composants open source existants dans leur code unique. Pourtant, même si cela permet d’améliorer la productivité et d’encourager l’innovation, cela crée aussi des problèmes de sécurité importants." a déclaré Matt Jarvis, directeur des relations avec les développeurs chez Snyk. "Cette étude, qui est la première en son genre, démontre par de nombreuses preuves une certaine naïveté de l'industrie quant à l'état actuel de la sécurité des logiciels libres. En collaboration avec la Fondation Linux, nous souhaitons tirer des enseignements de ces résultats pour sensibiliser et équiper davantage les développeurs du monde entier, en leur donnant les moyens de continuer à développer rapidement en toute sécurité."

"Les logiciels open source permettent aux développeurs d’être plus efficaces et favorisent l'innovation. Cependant, la façon dont les applications modernes sont développées les rend plus difficiles à sécuriser." prévient Brian Behlendorf, directeur général chez Open Source Security Foundation (OpenSSF). "Cette étude montre que le risque est réel, et que l'industrie doit encore travailler pour s'éloigner des mauvaises pratiques de sécurité dans l’open source et dans la chaîne d'approvisionnement des logiciels."

41% des entreprises n'ont pas une grande confiance dans la sécurité des logiciels open source

Les équipes de développement d'applications modernes utilisent du code provenant de différents endroits. Elles réutilisent le code d'autres applications qu'elles ont développées et recherchent des dépôts de code pour trouver des composants open source qui proposent les fonctionnalités dont elles ont besoin. L'utilisation de l'open source implique une nouvelle façon de penser la sécurité pour les développeurs que de nombreuses entreprises n'ont pas encore adoptée. Pour aller plus loin :

  • Moins de la moitié (49%) des entreprises ont une politique de sécurité dédiée au développement ou à l'utilisation des logiciels libres. Un chiffre qui tombe à 27% pour les moyennes et grandes entreprises
  • Trois entreprises sur dix (30%) qui n'ont pas de politique de sécurité pour l’utilisation des logiciels libres reconnaissent ouvertement qu’aucun membre de leur équipe n’est en charge de la sécurité des logiciels libres

Un projet de développement d'applications présente en moyenne 49 vulnérabilités impliquant 80 dépendances directes

Lorsque les développeurs intègrent un composant open source dans leurs applications, ils deviennent immédiatement dépendants de ce composant s'exposant à un risque s'il contient des vulnérabilités. L’étude montre à quel point ce risque est important et implique des dizaines de vulnérabilités découvertes au fur et à mesure de l’analyse des nombreuses dépendances directes dans chaque application.

De plus, le risque est aggravé par les dépendances indirectes, ou transitives, qui sont en quelque sorte les dépendances des dépendances. Malheureusement, de nombreux développeurs n’ont pas conscience de ces dépendances, ce qui les rend encore plus difficiles à suivre et à sécuriser.

Cependant, les répondants à l'enquête restent tout de même conscients de la complexité des enjeux de sécurité liés à l'open source dans la chaîne d'approvisionnement des logiciels :

  • Plus d'un quart des répondants à l'enquête ont indiqué qu'ils étaient préoccupés par l'impact sur la sécurité de leurs dépendances directes
  • Seulement 18% des répondants ont confiance dans les contrôles qu'ils ont mis en place pour gérer leurs dépendances transitives
  • 40% des vulnérabilités ont été trouvées dans les dépendances transitives

Le temps de la résolution des problèmes a plus que doublé, passant de 49 jours en 2018 à 110 jours en 2021

Le développement d'applications est de plus en plus complexe. Les défis de sécurité auxquels sont confrontées les équipes de développement le sont donc par la même occasion. Même si elle améliore l’efficacité du développement, l'utilisation de logiciels open source accroît la difficulté de remédier aux problèmes de sécurité. L’étude révèle que la correction des vulnérabilités au sein des projets open source prend près de 20 % plus de temps (18,75 %) que dans les projets propriétaires.