Discussion :

[Siguillaume]

Open source : de nombreuses applications héritent des failles des composants utilisés
les corrections de ces dernières se font en moyenne en 390 jours, selon Sonatype

Sonatype, un éditeur de logiciel spécialisé dans l’open source, vient de publier un rapport plein de surprises. La firme qui dispose d’un des dépôts centraux, les plus fournis, a étudié les mesures prises par plus de 106 000 organisations, dans le développement de leurs logiciels, et surtout sur la manière de bâtir des applications à partir des composants disponibles dans le dépôt.

L’étude révèle d’importantes failles dans les applications, qui sont héritées des briques open source utilisées. En effet, les points majeurs soulevés dans le rapport se déclinent comme suit:

• un composant sur 16 téléchargés, soit 6,25%, contient une vulnérabilité connue;
• la correction d’une vulnérabilité se fait en moyenne en 390 jours, c’est-à-dire plus d’une année, par l’éditeur du composant vulnérable ;
• une application cumule en moyenne 24 vulnérabilités critiques issues des composants qui la constituent.

Il ressort également du rapport que plusieurs grosses entreprises et même des organisations financières embarquent ces vulnérabilités dans leurs applications faites maison. En 2014, ce sont 240 747 téléchargements qui ont été effectués par ces sociétés. Et pour les 100 composants les plus téléchargés, 29 grandes entreprises s’exposent à des risques de sécurité majeurs, dus à des composants cachant des failles, avec des cycles de mises à jour assez longs. En plus des institutions financières, on dénombre parmi ces organisations des laboratoires pharmaceutiques et des constructeurs automobiles.

Alors que dans l’environnement actuel, de plus en plus de développeurs se tournent vers les composants open source pour produire rapidement leurs logiciels, c’est avec raison qu’il convient de tirer la sonnette d’alarme pour exhorter toute la chaîne de développement à davantage de sécurité, en minimisant les risques. Voici le message que veut délivrer ce rapport.

Derek Weeks, Vice-Président et Avocat du DevOps à Sonatype, rassure qu’ils resteront concentrés sur les trois piliers de leur chaîne d’approvisionnement que sont : Travailler avec les meilleurs fournisseurs dans une sélection très stricte, exiger des livrables de qualité de ces fournisseurs et maintenir la traçabilité et la visibilité sur toute la chaîne.

Pour information, le dépôt central de Sonatype est constitué de plus de 217 000 composants open source, avec environ 830 000 versions différentes. Sonatype est, d’ailleurs, le dépôt officiel et par défaut de plusieurs composants clés au centre des applications d’aujourd’hui tels que Apache Maven, SBT et d’autres applicatifs basés sur Java. En 2014, c’est environ 17,2 milliards de téléchargements qui ont été effectués à partir du dépôt, ce qui représente le triple du chiffre de l’année 2013.

Source: Sonatype Software Supply Chain report 2015

Et vous ?

Que pensez-vous de rapport ?

Avez-vous subi les effets d’une vulnérabilité dans un composant que vous auriez utilisé ?

[Invité]

"Open source: de nombreuses applications héritent des failles des composants utilisés, les corrections de ces dernières se font en moyenne en 390 jours"

héritent : extends ??

[Uther]

Le fait que des applications héritent des vulnérabilités de leur bibliothèque est une évidence. Et les chiffres ne me surprennent pas. Beaucoup d'applications ne surveillant pas du tout la sécurité.

Par contre l'article est mal rédigé et laisse penser a problème lié à l'open-source. C'est juste que Sonatype a analysé les données dont il disposait sur des composants open-source a sa disposition, mais les bibliothèques propriétaires sont tout autant à risque.

[abriotde]

Le probleme touche un peu diferemment les librairies proprietaires. Ces dernieres sont a la fois moins sécurisées et moins diffusées et alors les failles sont moins connu. Il est donc plus difficile de les exploiter mais aussi , les éditeurs, peu au courants des failles, mettent moins a jour leurs produits. Le produits close source est donc moins sujet au hacker du dimanche mais plus simple pour le groupe de hacker avec des moyens plus importants.

[Uther]

En tout cas de mon expérience, je ne constate aucune différence.
Les gens utilisent souvent des bibliothèques souvent sans se poser la moindre question y compris la licence, ne mettent pas à jour tant qu'ils ne sont pas confrontés à un bug bloquant.