Les éditeurs de logiciels ont adopté les logiciels open source avec beaucoup plus d'enthousiasme au cours de la dernière décennie. L'analyse de Lineaje, spécialisée dans la gestion de la sécurité de la chaîne d'approvisionnement des logiciels, indique qu'en moyenne, 70 à 90 % des logiciels sont des logiciels open source.
Dans certains cas, plus de 99 % des comprennent des logiciels libres. Cependant, ces logiciels ne font pas l'objet d'un suivi, d'une maintenance, d'une mise à jour ou d'un inventaire adéquats,
D’où l’alerte qui transparait dans son dernier rapport intitulé « What's in Your Open-Source Software ? » : il révèle que 82 % des composants logiciels libres représentent une menace.
Le rapport souligne que si plus de 70 % des logiciels propriétaires sont des logiciels libres, ces éléments ne sont souvent pas suivis, entretenus, mis à jour ou inventoriés, ce qui laisse de sérieuses vulnérabilités dans la supply chain des logiciels que les cyberattaquants peuvent exploiter.
Pour arriver à ce constat, Lineaje Data Labs a décomposé et évalué des dizaines de milliers de projets open source, ce qui lui a permis d'analyser les meilleurs projets ASF, mais aussi d'obtenir un aperçu statistiquement significatif des projets open source.
La sécurité dès la conception
Ce constat intervient après que la CISA (Certified Information Systems Auditor) a appelé les éditeurs à prendre des mesures pour mettre en œuvre des processus de développement « sécurisés dès la conception » afin de livrer des codes sécurisés « prêts à l'emploi ».
Lineaje a également constaté un risque important parmi les solutions opensource largement utilisées, en analysant les 44 projets les plus populaires de la Apache Software Foundation.
Fausse identité
Principal constat : 68 % des dépendances proviennent de projets opensource qui ne font pas partie de la Apache Software Foundation. Leur origine et les mécanismes de mise à jour sont souvent opaques.« Sans établir l'intégrité des paquets intégrés et de leur code source lié, vous ne pouvez pas savoir quelles dépendances pourraient être un cheval de Troie qui, à son tour, entraînerait d'autres dépendances peu recommandables, entraîner d'autres dépendances peu recommandables », lit-on dans ce rapport.
Or, 3 % de tous les composants analysés sont inconnus, tandis que d’autres mentent sur leur identité !
« Il est impératif que les organisations comprennent aujourd'hui que les logiciels opensource comportent des risques et sont falsifiables, même s'ils sont très populaires ou fournis par une marque établie », a déclaré Javed Hasan, PDG et cofondateur de Lineaje.
« Avec plus de logiciels assemblés que construits, il est plus important que jamais de disposer d'outils formels pour découvrir l'ADN des logiciels. Les développeurs n'ont pas de vision à rayons X pour voir à l'intérieur d'un composant logiciel qu'ils incluent et la plupart des sélectionneurs de logiciels libres ne sont pas non plus des experts en sécurité », a déclaré Javed Hasan, CEO de Lineaje.
Ce rapport recommande aux organisations de déployer des outils de gestion de la chaîne d'approvisionnement capables d'évaluer le risque dynamique inhérent et l'intégrité des dépendances et des projets individuels.