L’offre de composants open source continue de progresser et rien n’indique un quelconque ralentissement. Autant de conditions pour une multiplication des menaces, dont la portée, la complexité et l’impact augmentent.

En 2022, le nombre de dépendances open source téléchargé et intégré dans les logiciels a augmenté d’environ 33 % dans tous les écosystèmes. La numérisation des économies à un rythme soutenu, combinée aux innovations dans les domaines de l’IA, du cloud et de la cybersécurité explique, cette croissance.



Mais si cette dépendance des entreprises à l’égard des logiciels libres s’est accrue, le huitième rapport annuel de Sonatype note aussi que les attaques connues contre la chaîne logistique logicielle.  

Gravité et sophistication

Le rapport note en effet une augmentation de 633 % d’une année sur l’autre des attaques malveillantes visant l’open source dans les référentiels publics - et une augmentation annuelle moyenne de 742 % des attaques de la chaîne d’approvisionnement logicielle depuis 2019.

1,2 milliard de dépendances vulnérables sont téléchargées chaque mois. Mais Sonatype insiste sur le fait que c’est le comportement des consommateurs, et non des mainteneurs de logiciels libres, qui apparait comme la principale cause de cette situation.



Si ces actions malveillantes n’ont rien de nouveau, leur fréquence, leur gravité et leur sophistication deviennent un problème majeur qui inquiète les développeurs et les organisations.

Ors la situation est-elle tenable ?« On demande aux développeurs de maintenir une connaissance pratique de la qualité des logiciels, de multiples écosystèmes opensource, de réglementations fluctuantes et de près de 1 500 changements de dépendances par an et par application, le tout face à des attaques en constante évolution », relève Sonatype.



Quelles pistes peuvent être envisagées pour contenir ce risque ? « Il faut minimiser les dépendances et maintenir de faibles temps de mise à jour. Ce sont des facteurs essentiels pour réduire le risque de vulnérabilités transitives, la source la plus courante de risque de sécurité », lit-on dans ce rapport.  

Bibliothèques vulnérables.

Ma²is il y a un décalage évident entre les mesures de sécurité mises en place et ce que les informaticiens pensent qu’il se passe. 68 % des personnes interrogées sont convaincues que leurs applications n’utilisent pas de bibliothèques vulnérables.

Cependant, « lors d’une analyse aléatoire des applications d’entreprise, 68 % d’entre elles présentaient des vulnérabilités connues dans leurs composants logiciels libres » … note Sonatype.



Pour innover plus rapidement et se développer à grande échelle, les organisations doivent donc faciliter autant que possible la tâche des développeurs pour créer des logiciels sécurisés et maintenables, ce qui implique de leur fournir des outils plus intelligents qui offrent une meilleure visibilité sur leurs systèmes et automatisent leurs processus.