IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Logiciels Libres & Open Source Discussion :

Les applications bâties à partir de composants Open Source cumulent en moyenne 24 vulnérabilités critiques


Sujet :

Logiciels Libres & Open Source

  1. #1
    Expert éminent sénior

    Avatar de Siguillaume
    Homme Profil pro
    Conseil - Consultant en systèmes d'information
    Inscrit en
    août 2007
    Messages
    6 180
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Conseil - Consultant en systèmes d'information
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : août 2007
    Messages : 6 180
    Points : 25 436
    Points
    25 436
    Par défaut Les applications bâties à partir de composants Open Source cumulent en moyenne 24 vulnérabilités critiques
    Open source : de nombreuses applications héritent des failles des composants utilisés
    les corrections de ces dernières se font en moyenne en 390 jours, selon Sonatype

    Nom : vulnerabilité.jpg
Affichages : 3795
Taille : 70,1 Ko

    Sonatype, un éditeur de logiciel spécialisé dans l’open source, vient de publier un rapport plein de surprises. La firme qui dispose d’un des dépôts centraux, les plus fournis, a étudié les mesures prises par plus de 106 000 organisations, dans le développement de leurs logiciels, et surtout sur la manière de bâtir des applications à partir des composants disponibles dans le dépôt.

    L’étude révèle d’importantes failles dans les applications, qui sont héritées des briques open source utilisées. En effet, les points majeurs soulevés dans le rapport se déclinent comme suit:
    • un composant sur 16 téléchargés, soit 6,25%, contient une vulnérabilité connue;
    • la correction d’une vulnérabilité se fait en moyenne en 390 jours, c’est-à-dire plus d’une année, par l’éditeur du composant vulnérable ;
    • une application cumule en moyenne 24 vulnérabilités critiques issues des composants qui la constituent.


    Il ressort également du rapport que plusieurs grosses entreprises et même des organisations financières embarquent ces vulnérabilités dans leurs applications faites maison. En 2014, ce sont 240 747 téléchargements qui ont été effectués par ces sociétés. Et pour les 100 composants les plus téléchargés, 29 grandes entreprises s’exposent à des risques de sécurité majeurs, dus à des composants cachant des failles, avec des cycles de mises à jour assez longs. En plus des institutions financières, on dénombre parmi ces organisations des laboratoires pharmaceutiques et des constructeurs automobiles.

    Alors que dans l’environnement actuel, de plus en plus de développeurs se tournent vers les composants open source pour produire rapidement leurs logiciels, c’est avec raison qu’il convient de tirer la sonnette d’alarme pour exhorter toute la chaîne de développement à davantage de sécurité, en minimisant les risques. Voici le message que veut délivrer ce rapport.

    Derek Weeks, Vice-Président et Avocat du DevOps à Sonatype, rassure qu’ils resteront concentrés sur les trois piliers de leur chaîne d’approvisionnement que sont : Travailler avec les meilleurs fournisseurs dans une sélection très stricte, exiger des livrables de qualité de ces fournisseurs et maintenir la traçabilité et la visibilité sur toute la chaîne.

    Pour information, le dépôt central de Sonatype est constitué de plus de 217 000 composants open source, avec environ 830 000 versions différentes. Sonatype est, d’ailleurs, le dépôt officiel et par défaut de plusieurs composants clés au centre des applications d’aujourd’hui tels que Apache Maven, SBT et d’autres applicatifs basés sur Java. En 2014, c’est environ 17,2 milliards de téléchargements qui ont été effectués à partir du dépôt, ce qui représente le triple du chiffre de l’année 2013.

    Source: Sonatype Software Supply Chain report 2015

    Et vous ?

    Que pensez-vous de rapport ?

    Avez-vous subi les effets d’une vulnérabilité dans un composant que vous auriez utilisé ?
    Vous avez envie de contribuer au sein du Club Developpez.com ? Contactez-nous maintenant !
    Vous êtes passionné, vous souhaitez partager vos connaissances en informatique, vous souhaitez faire partie de la rédaction.
    Il suffit de vous porter volontaire et de nous faire part de vos envies de contributions :
    Rédaction d'articles/cours/tutoriels, Traduction, Contribution dans la FAQ, Rédaction de news, interviews et témoignages, Organisation de défis, de débats et de sondages, Relecture technique, Modération, Correction orthographique, etc.
    Vous avez d'autres propositions de contributions à nous faire ? Vous souhaitez en savoir davantage ? N'hésitez pas à nous approcher.

  2. #2
    Membre habitué
    Homme Profil pro
    Développeur Web
    Inscrit en
    janvier 2015
    Messages
    125
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Val d'Oise (Île de France)

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : janvier 2015
    Messages : 125
    Points : 168
    Points
    168
    Par défaut Héritage ?
    "Open source: de nombreuses applications héritent des failles des composants utilisés, les corrections de ces dernières se font en moyenne en 390 jours"

    héritent : extends ??

  3. #3
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Inscrit en
    avril 2002
    Messages
    4 295
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations forums :
    Inscription : avril 2002
    Messages : 4 295
    Points : 12 913
    Points
    12 913
    Par défaut
    Le fait que des applications héritent des vulnérabilités de leur bibliothèque est une évidence. Et les chiffres ne me surprennent pas. Beaucoup d'applications ne surveillant pas du tout la sécurité.

    Par contre l'article est mal rédigé et laisse penser a problème lié à l'open-source. C'est juste que Sonatype a analysé les données dont il disposait sur des composants open-source a sa disposition, mais les bibliothèques propriétaires sont tout autant à risque.

  4. #4
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2007
    Messages
    838
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : juillet 2007
    Messages : 838
    Points : 1 805
    Points
    1 805
    Par défaut Faille et open source
    Le probleme touche un peu diferemment les librairies proprietaires. Ces dernieres sont a la fois moins sécurisées et moins diffusées et alors les failles sont moins connu. Il est donc plus difficile de les exploiter mais aussi , les éditeurs, peu au courants des failles, mettent moins a jour leurs produits. Le produits close source est donc moins sujet au hacker du dimanche mais plus simple pour le groupe de hacker avec des moyens plus importants.
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

  5. #5
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Inscrit en
    avril 2002
    Messages
    4 295
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations forums :
    Inscription : avril 2002
    Messages : 4 295
    Points : 12 913
    Points
    12 913
    Par défaut
    En tout cas de mon expérience, je ne constate aucune différence.
    Les gens utilisent souvent des bibliothèques souvent sans se poser la moindre question y compris la licence, ne mettent pas à jour tant qu'ils ne sont pas confrontés à un bug bloquant.

Discussions similaires

  1. Réponses: 0
    Dernier message: 18/06/2015, 10h17
  2. Réponses: 49
    Dernier message: 02/02/2012, 09h15
  3. Réponses: 9
    Dernier message: 07/01/2012, 18h44
  4. Réponses: 5
    Dernier message: 30/10/2009, 12h28
  5. Recherche d'un composant "open source" : mélange datagrid / treeview
    Par Miles Raymond dans le forum Windows Forms
    Réponses: 7
    Dernier message: 25/11/2008, 21h33

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo