Alors que le code open source est à la base de très nombreuses  applications des entreprises et organisations, le dernier rapport OSSRA (Open Source Security & Risk Analysis) de Synopsys ne montre pas une gestion rigoureuse des failles de sécurité dans ce domaine. Un constat inquiétant.

La 8ème édition de cette étude, très détaillée, analyse les vulnérabilités, identifie les risques et alerte sur les mauvaises pratiques de développement avec les logiciels libres. Elle ne rassure par les experts en cybersécurité et les utilisateurs, à l’heure du déploiement massif de logiciels tels Kubernetes, standard de la gestion des containers d'application sur des grappes de serveurs.

Le rapport OSSRA est édifiant sur le manque de rigueur quant aux risques de sécurité dans ce type d’application. Ainsi,  87% des codes sources étudiés contenaient des vulnérabilités connues. Le secteur industriel et la robotique, même sur les petites séries, intègrent du code open source dans 92%  du code. Dans les secteurs de l’aérospatiale, l’aviation, l’automobile, le transport et la logistique, 73 % du code analysé contenait des vulnérabilités à haut risque, affectées d’un degré de vulnérabilité de 7 ou plus, sur une échelle de 10.



Même constat, dans le domaine de l'énergie et des technologies qui exploitent les ressources naturelles, eau, etc. dans lequel 78 % du code était open source et 69 % de ce code recélait des vulnérabilités à haut risque. L’étude de Synopsys, pointe du doigt des résultats similaires à des degrés moindre dans d'autres secteurs.

Une augmentation massive des vulnérabilités sur les 5 dernières années

Un des aspects les plus instructifs du rapport OSSRA est l’analyse de l’évolution du nombre de failles de sécurité dans le code source des applications dans différents secteurs d’activité. Dans la distribution et le e-commerce, le nombre de vulnérabilités a plus que quintuplé (+557%).

Cette augmentation dépasse trois fois (+317%) dans les domaines du matériel informatique et des semiconducteurs.

Ce podium peu glorieux est complété par le secteur industriel et la robotique (+277%). A la quatrième place se trouvent le big data, l’IA, la BI et le machine learning (+236%). Enfin, les domaines du spatial, de l’aéronautique, du transport de la logistique ont connu une augmentation des failles de 232%.

Le rapport met aussi en avant le manque de respect des licences open-source qui  appartiennent à deux catégories, la famille BSD avec des licences ne contenant pas de Copyleft et la famille GNU qui intègre un Copyleft. Ce dernier terme signifie, notamment, que le logiciel crée comporte des conditions de distribution, un outil juridique sur le droit d’utiliser, modifier et redistribuer le code du programme.

Synopsys montre que  54% des bases de codes analysés présentent des conflits de licences, pas moins… Près d’un tiers (31%) des bases contenant du code open source n’intègrent pas les fichiers de licence normalement obligatoires.

A la lumière de ce rapport, il est essentiel d’améliorer l’organisation de la production de code pour réduire les risques, en considérant le risque commercial et financier.

Du côté de l’Etat qui a lancé en 2021 le plan d’action Logiciels libres et communs numériques concernant la transformation numérique des administrations, leur DSI auraient grand intérêt à se pencher sérieusement sur les risques inhérents à une mauvaise gestion du code open source.