Sonatype a mené une enquête auprès de 662 professionnels de l'ingénierie d'entreprise et leur a posé 40 questions sur leur utilisation des composants opensource, la gestion des dépendances, la gouvernance, les processus d'approbation et l'outillage.
La plupart des professionnels interrogés ont indiqué des niveaux de gestion de la chaîne d'approvisionnement inférieurs à ce qui est requis pour produire des résultats de haute qualité selon l'évaluation de Sonatype.
Tout le monde a encore en mémoire Log4Shell, cette vulnérabilité critique découverte en novembre 2021 dans Log4j, une bibliothèque Java opensource très populaire utilisée pour la journalisation et intégrée dans des millions d'applications d'entreprise et de produits logiciels, souvent en tant que dépendance indirecte.
JndiManager et 19 000 composants logiciels
Selon le suivi de Sonatype, en août 2022, le taux d'adoption des versions corrigées de Log4j est d'environ 65 %. Ce constat ne tient même pas compte du fait que la vulnérabilité Log4Shell trouve son origine dans une classe Java appelée JndiManager qui fait partie de Log4j-core, mais qui a également été empruntée par 783 autres projets et se trouve désormais dans plus de 19 000 composants logiciels.Log4Shell a marqué un tournant en mettant en évidence les risques inhérents à l'écosystème des logiciels libres - qui sont au cœur du développement des logiciels modernes - et la nécessité de les gérer correctement.
Elle a également donné lieu à plusieurs initiatives visant à sécuriser la chaîne d'approvisionnement des logiciels par des organisations privées, des gestionnaires de référentiels de logiciels, la Fondation Linux et des organismes gouvernementaux.
Pourtant, la plupart des organisations sont loin d'être au niveau où elles devraient être en termes de gestion de la chaîne d'approvisionnement des logiciels libres. Les types d'attaques se sont diversifiés.
Confusion des dépendances
Jusqu'à la fin de l'année dernière, Sonatype avait suivi environ 12 000 instances connues d'attaques malveillantes de la chaîne d'approvisionnement, mais ce nombre est désormais passé à plus de 88 000, soit une croissance de 633 % d'une année sur l'autre. L'entreprise a également découvert 97 334 paquets malveillants distribués de diverses manières.Une technique d'attaque appelée « confusion des dépendances », divulguée publiquement par des chercheurs en sécurité en février 2021 et largement adoptée depuis, est l'une des principales causes de la croissance des paquets malveillants.
Cette technique exploite le comportement de la plupart des clients de gestion de paquets configurés pour rechercher des paquets à la fois dans les dépôts communautaires publics et dans les dépôts internes.
Sonatype a analysé un ensemble de plus de 12 000 bibliothèques couramment utilisées dans les applications d'entreprise et a constaté que seulement 10 % d'entre elles présentaient une vulnérabilité directement dans leur code.
Examiner chaque bibliothèque
Cependant, si l'on inclut les vulnérabilités transitives héritées des dépendances et des dépendances de ces dépendances, l'incidence passe à 62 %. En moyenne, chaque bibliothèque avait 5,7 dépendances.En outre, le fait de choisir des composants basés sur un taux de vulnérabilités plus faible ne se traduit pas nécessairement par de meilleurs résultats en matière de sécurité à long terme, car la façon dont les chercheurs choisissent les projets qu'ils veulent examiner est très biaisée.
En d'autres termes, un projet populaire peut présenter un nombre plus élevé de vulnérabilités découvertes simplement parce que plus d'yeux sont braqués sur lui.
« Étant donné que la plupart des vulnérabilités proviennent de dépendances transitives, le conseil le plus clair est d'examiner soigneusement chaque bibliothèque que vous utilisez », ont déclaré les chercheurs de Sonatype.