Les logiciels libres sont de plus en plus utilisés. Mais leurs risques cachés pourraient compromettre la sécurité et la résilience de votre organisation. L’open-source est présent dans les applications et les conteneurs. Il est utilisé à de multiples étapes du développement, de l’intégration et du déploiement du logiciel.

Tout comme le Shadow IT, qui était omniprésent au cours de la dernière décennie,
ce « Shadow Code » dans les applications est omniprésent. Actuellement, 90 % des applications modernes utilisent des composants libres. Une application typique utilise environ 70 % d’open source, le reste étant du code privé. L’étude de Lineaje montre que certaines applications s’appuient à… 99 % sur l’open source, en particulier celles fournies par des sociétés de sous-traitance logicielle.

Une analyse d’Apache eCharts utilisé dans 280 000 projets révèle le nombre de composants et leurs principaux contributeurs jusqu’à 21 couches de profondeur !

Aucun contrôle

Le dernier rapport de Lineaje AI Labs, « Crossing Boundaries : Breaking Trust », fournit des informations cruciales sur les dépendances des logiciels open-source :
  • Les États-Unis sont en tête des contributions anonymes, doublant ainsi les facteurs de risque globaux.

  • 95 % des vulnérabilités trouvent leur origine dans les dépendances des logiciels libres.

  • La correction des vulnérabilités peut être simplifiée, en réduisant l’effort jusqu’à 50 %.

  • Les défis cachés des couches de dépendance complexes et de la diversité du codage
« Alors que les tensions géopolitiques augmentent et que les logiciels sont à la base d’industries critiques, il est essentiel de comprendre les risques dont vos applications peuvent hériter sans le savoir », lit-on dans le rapport.

Il en résulte que les fournisseurs de logiciels libres n’ont aucun contrôle réel sur ce qu’ils transmettent et sur ce qu’ils ingèrent de leur part. Ces fournisseurs dépendent de leurs sous-fournisseurs pour la qualité, la sécurité, les fonctionnalités et les correctifs des logiciels. Les recherches menées par Lineaje sur les logiciels de l’Apache Software Foundation (ASF) ont révélé que 82 % des composants des projets de l’ASF
sont très risqués.



Par ailleurs, si les contributeurs américains livrent plus de code aux projets que ceux de n’importe quel autre pays, 20 % d’entre eux choisissent de rester anonymes, soit deux fois plus que les contributeurs russes et trois fois plus que les contributeurs chinois.

Une analyse de plus de 15 millions d’engagements liés à des applications d’entreprise révèle la répartition des contributions des principaux pays. Les États-Unis et la Russie représentent à eux deux près de la moitié de l’ensemble des contributions
à des logiciels libres.

ARTICLES SIMILAIRESPLUS DE L'AUTEUR