Envoyé par
tchize_
l'idéal selon moi serait que des outils comme maven puissent te faire un "potential vulnerability assessement" sur base des versions présentes dans ton .war au final. Parce que si, pour chaque application développée en interne sur des projets de 3 à 4 mois, je dois me coltiner de suivre les update de 80 librairies et, toutes les semaines, faire une mise à jour pour utiliser la dernière version de X ou Y, a bout de 4 projet, mon équipe est à l'arrêt.
Et faire une mise à jour de sécurité, ce n'est souvent possible en temps raisonnable que si on reste dans la même révision mineure. Passer à la majeure suivante, c'est parfois beaucoup de boulot. API incompatibles, nouveaux fichiers de configurations, repasser toutes les batteries de test quality control.
Enfin, quand on a un mix de closed source et d'open source, que le closed source n'est plus maintenu (ou coute trop d'énergie à migrer) et n'est pas compatible avec la nouvelle version de xerces ou de xml-api, on est vite dans un cul de sac.
Tout ça ça coute énormément d'argent. Alors oui, souvent, on reste avec les ancienne librairies et on assume les risques. Tout est une question de moyen et du rapport entre les moyens et les risques.
Partager