+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    janvier 2014
    Messages
    738
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2014
    Messages : 738
    Points : 16 900
    Points
    16 900

    Par défaut Les entreprises utilisent des logiciels open source sans suivre l’évolution de la sécurité de ces logiciels

    De nombreuses entreprises utilisent des logiciels open source sans suivre l’évolution de la sécurité de ces logiciels
    qui constituent des cibles pour les pirates

    Au début de cette année, l’entreprise CSO travaillant dans le domaine la recherche d’informations au sujet de la sécurité informatique déclarait que les attaques basées sur les vulnérabilités dans les logiciels open source vont augmenter de 20 % cette année. Et pour cause, de nombreux logiciels commerciaux ou gratuits utilisent de plus en plus du code open source qui est également analysé par les tiers malveillants pour en trouver des failles et cibler les logiciels qui les intègrent.

    En septembre dernier, Equifax, une agence de déclaration de crédit à la consommation aux États-Unis (considérée comme l’une des trois plus grandes agences de crédit américaines avec Experian et TransUnion), a confirmé avoir été victime d’un accès non autorisé à sa base de données contenant 143 millions de ses clients américains. Selon les enquêtes de l’entreprise, ce piratage a été possible à cause d’une faille détectée dans Struts, le Framework web utilisé par l’entreprise pour développer son application web.

    Dans un récent rapport publié par Flexera, l’entreprise de développement de logiciels de sécurité vient de découvrir qu’environ 50 % du code source des logiciels commerciaux et ceux des objets connectés sont issus de l’open source. Bien que cela dénote de la bonne santé des logiciels open source, cela pourrait également faire migrer les problèmes liés au code open source dans les autres environnements.

    Pour mieux comprendre les conséquences liées à l’utilisation du code open source, Flexera a interrogé 400 éditeurs de logiciels et fabricants d’objets connectés ainsi que des équipes de développement logiciels internes aux entreprises. Après avoir analysé les différentes réponses des entreprises interrogées, il s’avère que seulement 37 % des représentants ont une politique d’acquisition ou d’utilisation open source. Cela sous-entend également que 63 % des répondants n’ont pas de politique d’acquisition ou d’utilisation open source, ou qu’ils ne savent pas s’il en existe une dans leur entreprise. Cela est assez étonnant dans la mesure où sur ces 63 % de fournisseurs de logiciels qui ont admis qu’ils n’ont pas de politique d’acquisition ou d’utilisation open source ou ne savent pas s’il en existe une au sein de leur entreprise, 43 % déclarent qu’ils contribuent à des projets open source.

    Selon Jeff Luszcz, vice-président de la gestion des produits chez Flexera, « nous ne pouvons pas perdre de vue le fait que l’open source est en effet une victoire claire. Le code prêt à l’emploi permet d’obtenir des produits plus rapidement, ce qui est important compte tenu de la vitesse fulgurante de l’espace logiciel ». Mais l’homme ajoute cependant que « la plupart des ingénieurs logiciels ne suivent pas l’utilisation open source, et la plupart des responsables de logiciels ne réalisent pas qu’il existe un écart et un risque de sécurité/conformité ».

    En continuant d’analyser les réponses obtenues, Flexera note que pour 39 % des répondants, soit il n’existe personne au sein de leur entreprise qui est responsable de la conformité open source – ou soit ils ne savent pas qui s’en occupe. Par ailleurs, sur les 400 représentants qui ont répondu aux questions, 33 % d’entre eux soutiennent que leurs entreprises contribuent à des projets open source.

    À la lumière de ce sondage, Luszcz déclare que « les processus open source protègent les produits et la réputation de la marque. Mais la plupart des éditeurs de logiciels et d’IdO ne se rendent pas compte qu’il y a un problème, ainsi ils ne se protègent pas eux-mêmes et ne protègent pas leurs clients ». Pour Luszcz, « cela met en danger toute la chaîne d’approvisionnement du logiciel — pour les fournisseurs dont les produits sont exposés au risque de conformité et de vulnérabilité. Et aussi pour leurs clients qui ne savent probablement même pas qu’ils utilisent des logiciels open source et d’autres logiciels tiers, ou qu’ils peuvent contenir des vulnérabilités logicielles ».

    Source : Rapport Flexera

    Et vous ?

    Quel est votre avis sur ce rapport ?

    Le manque de suivi de la sécurité des logiciels open source décrié dans ce rapport reflète-t-il ce qui se fait dans les entreprises ?

    Ou le rapport dépeint-il un portait surfait de la réalité concernant la sécurité liée à l’utilisation des logiciels open source ?

    Voir aussi

    Open source : de nombreuses applications héritent des failles des composants utilisés, les corrections de ces dernières se font en moyenne en 390 jours
    Un chercheur remet en question la gestion des failles de sécurité des projets open source, et propose quelques bonnes pratiques
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 280
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 280
    Points : 6 102
    Points
    6 102

    Par défaut

    dans la tete des dirigeants, OpenSource rime essentiellement avec réduction des couts, alors on en met un peu partout c'est bien
    de l'autre coté, la sécurité est encore trop souvent le laissé pour compte du budget, on rechigne à y mettre des ressources, pourtant c'est un métier à part entière, ça ne s'improvise pas

    dans beaucoup de pme c'est -au mieux !- un développeur qui est en charge de l'admin sys et de la sécu, donc il fait ce qu'il peut, sans garantie.
    et à l'inverse dans les entreprises de taille plus importante les ressources coté sécurité peuvent manquer, et si on ajoute la lourdeur des process, on se retrouve avec une prod en mode "ça marche, on touche pas"
    Avant donc que d'écrire, apprenez à penser.
    Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
    Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
                                                        - Nicolas Boileau, L'Art poétique

  3. #3
    Membre expérimenté Avatar de Uranne-jimmy
    Homme Profil pro
    Bioinformatique
    Inscrit en
    décembre 2012
    Messages
    776
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Bioinformatique
    Secteur : Industrie Pharmaceutique

    Informations forums :
    Inscription : décembre 2012
    Messages : 776
    Points : 1 457
    Points
    1 457

    Par défaut

    Citation Envoyé par BufferBob Voir le message
    dans beaucoup de pme c'est -au mieux !- un développeur qui est en charge de l'admin sys et de la sécu, donc il fait ce qu'il peut, sans garantie.
    Dans ma boite, ce dev, c'est moi .

    Toujours est il que rajouter à cet article des points d'entrer pour aider les gens à mieux se prémunir, ça serait un plus parfaitement utile (je ne travail pas avec de l'open source en milieu pro mais il n'y a pas que là qu'il faut savoir se protéger).
    Expert en recherche google caféinomane

  4. #4
    Membre expérimenté Avatar de marsupial
    Homme Profil pro
    DevOp, Tech leader
    Inscrit en
    mars 2014
    Messages
    627
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : DevOp, Tech leader

    Informations forums :
    Inscription : mars 2014
    Messages : 627
    Points : 1 452
    Points
    1 452

    Par défaut

    La description de BufferBob correspond parfaitement dans le meilleur des cas. Et comme le fait comprendre Urane-Jimmy, lorsqu'il s'agit de code propriétaire, c'est pire.
    J'aimerai qu'à chaque règle existe des exceptions, malheureusement, je n'en connais pas.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  5. #5
    Membre éprouvé
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2007
    Messages
    541
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : juillet 2007
    Messages : 541
    Points : 913
    Points
    913

    Par défaut

    On peux virer Open-Source. Dans les entreprises la politique est "Tant que ça marche" quelques soit le logiciel. Et la politique est de dire "de toute façons il y a des gardiens à l'entrée" (VPN, firewall...)
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

  6. #6
    Membre confirmé
    Profil pro
    Inscrit en
    mai 2011
    Messages
    293
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2011
    Messages : 293
    Points : 635
    Points
    635

    Par défaut

    Citation Envoyé par abriotde Voir le message
    On peux virer Open-Source. Dans les entreprises la politique est "Tant que ça marche" quelques soit le logiciel. Et la politique est de dire "de toute façons il y a des gardiens à l'entrée" (VPN, firewall...)
    C'est clair. Je prends et je ne contribue même pas derrière au passage et je prône le libre parce que cela fait de moi un mec cool. Voici un exemple

  7. #7
    Membre confirmé
    Profil pro
    Inscrit en
    mai 2011
    Messages
    293
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2011
    Messages : 293
    Points : 635
    Points
    635

    Par défaut

    Citation Envoyé par BufferBob Voir le message
    dans la tete des dirigeants, OpenSource rime essentiellement avec réduction des couts, alors on en met un peu partout c'est bien
    de l'autre coté, la sécurité est encore trop souvent le laissé pour compte du budget, on rechigne à y mettre des ressources, pourtant c'est un métier à part entière, ça ne s'improvise pas

    dans beaucoup de pme c'est -au mieux !- un développeur qui est en charge de l'admin sys et de la sécu, donc il fait ce qu'il peut, sans garantie.
    et à l'inverse dans les entreprises de taille plus importante les ressources coté sécurité peuvent manquer, et si on ajoute la lourdeur des process, on se retrouve avec une prod en mode "ça marche, on touche pas"
    Même quand tu as la dream-team, surtout dans les grosses boîtes tu as conflie d'intérêt. Et au final, tout le monde fait du Shadow IT parce personne n'est content. Il faut plus que des qualifications, il faut de vrai manager et de vrai patron, de vrai logiciel et de vrai PC. Je me demande combien de fois, j'ai demandé au sys-admin de me mettre un logiciel alors qu'il aurait pu me mettre un store d'entreprise, combien de fois je demande les logs de la prod et ils savaient même où c'était et mis trois semaines pour me les sortir.

    En fait plus le process est long, plus on utilise des choses qu'on devrait pas pour répondre aux tâches rapidement et valider nos tickets plus rapidement.

  8. #8
    Nouveau Candidat au Club
    Homme Profil pro
    .
    Inscrit en
    mai 2015
    Messages
    545
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : .

    Informations forums :
    Inscription : mai 2015
    Messages : 545
    Points : 0
    Points
    0

    Par défaut

    Quoi ? C'est pas la communauré qui s'occupe de ca ? C'est pas ca justemeny le point fort de l' OpenSource ?

Discussions similaires

  1. Réponses: 3
    Dernier message: 13/05/2015, 13h05
  2. Réponses: 23
    Dernier message: 05/12/2013, 21h21
  3. Réponses: 34
    Dernier message: 06/10/2010, 12h02
  4. Réponses: 4
    Dernier message: 28/07/2009, 14h28
  5. Des licences autre que pour les logiciels open source ?
    Par declencher dans le forum Licences
    Réponses: 2
    Dernier message: 03/04/2009, 22h17

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo