Selon une étude, des problèmes de sécurité importants sont liés à l'omniprésence des logiciels open source. Aborder la question de la sécurité de ces composants nécessite surtout une approche différente.
Aujourd'hui, presque toutes les applications sont composées de composants dépendant d'autres composants, créant ainsi une chaîne d'approvisionnement qui implique des centaines de composants et dépendances à plusieurs niveaux.
La surface d'attaque d'aujourd'hui est différente de celle des modèles traditionnels de menace de cybersécurité. Des défauts dans de petites bibliothèques qui sont largement utilisées dans l'écosystème logiciel peuvent causer un risque systémique, comme nous l'avons vu avec des incidents tels queLog4shell.
C’est cette situation complexe et donc problématique qui est traitée dans cette première étude commune de Snyk et de la Fondation Linux - et avec le soutien d'OpenSSF, de la Cloud Native Security Foundation, de la Continuous Delivery Foundation et de la Eclipse Foundation.
Baptisée « The State of Open Source Security », elle s’appuie sur les réponses de plus de 550 personnes ainsi que sur les données de Snyk Open Source, qui a analysé plus de 1,3 milliard de projets open source.
Les principaux points clés de l’étude sont les suivants :
- Plus de quatre entreprises sur dix (41 %) n'ont pas confiance dans la sécurité de leurs logiciels open source
- Un projet de développement d'applications comporte en moyenne 49 vulnérabilités et 80 dépendances directes
- Le temps nécessaire pour corriger les vulnérabilités des projets open source augmente continuellement, et a presque doublé entre 2018 et 2021, passant de 49 jours à 110 jours
Cette situation présente des risques critiques de sécurité liés à l'utilisation généralisée des logiciels open source dans le développement d'applications modernes.
De plus, le risque est aggravé par les dépendances indirectes, ou transitives, qui sont en quelque sorte les dépendances des dépendances. Malheureusement, de nombreux développeurs n’ont pas conscience de ces dépendances, ce qui les rend encore plus difficiles à suivre et à sécuriser.
Mais contrairement à ce que l’on pourrait penser de prime abord, ce ne sont pas nécessairement les logiciels open source qui sont en cause (d’ailleurs de nombreux DSI estiment qu’ils sont aussi surs que les « soft » propriétaires) mais la façon dont les DevOps les utilisent.
Selon Snyk, spécialisé dans la sécurité des développeurs et La Fondation Linux, organisation mondiale à but non lucratif, de nombreuses entreprises n’ont en effet pas de stratégies efficaces pour gérer les vulnérabilités des applications liées à la réutilisation du code :
- Moins de la moitié (49 %) des entreprises ont une politique de sécurité dédiée au développement ou à l'utilisation des logiciels libres. Un chiffre qui tombe à 27 % pour les moyennes et grandes entreprises. Cependant une autre étude note une prise de conscience des enjeux.
- Trois entreprises sur dix (30 %) qui n'ont pas de politique de sécurité pour l’utilisation des logiciels libres reconnaissent ouvertement qu’aucun membre de leur équipe n’est en charge de la sécurité des logiciels libres.
- Résultat, seuls 18 % des répondants ont confiance dans les contrôles qu'ils ont mis en place pour gérer leurs dépendances transitives.
Les équipes de développement d'applications modernes utilisent du code provenant de différents endroits. Elles réutilisent le code d'autres applications qu'elles ont développées et recherchent des dépôts de code pour trouver des composants open source qui proposent les fonctionnalités dont elles ont besoin.
Or, l'utilisation de l'open source implique une nouvelle façon de penser la sécurité pour les développeurs que de nombreuses entreprises n'ont pas encore adoptée
« Cette étude, qui est la première en son genre, démontre par de nombreuses preuves une certaine naïveté de l'industrie quant à l'état actuel de la sécurité des logiciels libres », constate Matt Jarvis, directeur des relations avec les développeurs chez Snyk.
De son côté, Brian Behlendorf, directeur général chez Open Source Security Foundation (OpenSSF) note que « les logiciels open source permettent aux développeurs d’être plus efficaces et favorisent l'innovation. Cependant, la façon dont les applications modernes sont développées les rend plus difficiles à sécuriser. »