Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Consultant informatique
    Inscrit en
    avril 2018
    Messages
    256
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2018
    Messages : 256
    Points : 9 200
    Points
    9 200

    Par défaut Les vulnérabilités de la chaîne logistique des logiciels libres ont doublé en 12 mois

    Les vulnérabilités de la chaîne logistique des logiciels libres ont doublé en 1 an
    Cependant, leur utilisation a augmenté de 120 %, selon un rapport

    Un nouveau rapport d’état des logiciels a été publié hier par Sonatype, société d’automatisation des logiciels, selon lequel les entreprises continueraient de télécharger et d’utiliser certains logiciels libres malgré l’énorme attaque contre Equifax, l’agence d'évaluation du crédit à la consommation. En effet, l’attaque a été rendu possible grâce un composant open source vulnérable connu du projet Apache Struts.

    Un logiciel libre est un logiciel dont l'utilisation, l'étude, la modification et la duplication par autrui en vue de sa diffusion sont permises, techniquement et légalement, ceci afin de garantir certaines libertés induites, dont le contrôle du programme par l'utilisateur et la possibilité de partage entre individus. Selon Sonatype, de tels logiciels sont en utilisation croissante dans les sociétés malgré les rapports de vulnérabilité et les discussions que ses rapports suscitent. Au cours des 12 derniers mois, l’utilisation des composants open source vulnérables a augmenté de 120 % en glissement annuel.

    Dans son rapport de 2017, Sonatype attirait l’attention sur le fait que toutes les entreprises devenaient des sociétés de logiciels. Mais, selon la société, cette année la situation est passée à un autre niveau. Tous les types d’entreprises recrutent une armée de développeurs de logiciels et consomment des quantités extraordinaires de composants open source. Selon Sonatype, de nombreuses cyberattaques de grande envergure ont montré que les cybercriminels procèdent également en créant des vulnérabilités de sécurité dans la chaîne logistique des logiciels, y compris des logiciels libres.

    Nom : Pb01.png
Affichages : 2935
Taille : 91,7 Ko

    11 exemples de cyberattaques récentes ont été cités qui montrent que ces attaquants ont commencé à injecter des failles directement dans des projets open source. A titre d’exemple, Gilbertson a signalé un package npm malveillant capable de collecter les numéros des cartes de crédits sur des centaines de sites Web.

    La majorité des vulnérabilités relevées par la Société de logiciels repose sur la manipulation des npm et 1,3 millions des vulnérabilités découvertes dans les composants de logiciels open source ne sont pas dans la base de données publique des vulnérabilités NDV, c’est-à-dire qu’elles sont nouvelles par conséquent, difficiles à traiter, selon Sonatype.

    En outre, Sonatype estime que 170 000 composants open sources sont téléchargés par une entreprise moyenne par an, dont un est vulnérable sur huit. Aussi, Sonatype a découvert le temps moyen pour exploiter les vulnérabilités qui est de 3 jours. Ces données rendent plus difficile la situation pour les entreprises qui utilisent des logiciels open source vulnérables.

    Toutefois, la cyberattaque, facilitée par un composant open source vulnérable connu du projet Apache Struts dont a été victime Equifax en 2017 a suscité un débat sur les dépendances sécuritaires des chaînes d’approvisionnement en logiciels. Cependant, ce débat n’a pas vraiment enseigné les entreprises qui continuent de télécharger des versions du composant vulnérable presqu’à la même allure (environ 80 000 téléchargements par mois) que l’an dernier où l’attaque a eu lieu. Le taux de téléchargement d’un autre framework vulnérable appelé Spring n’a diminué que de 15 % en passant de 85 000 l’an dernier à 72 000 cette année.

    Nom : Tél01.png
Affichages : 2744
Taille : 61,2 Ko

    Ayant basé son enquête sur un large éventail de données publiques et propriétaires ainsi que sur des recherches et analyses d'experts, Sonatype est parvenu à un ensemble de mesures, qui mises en œuvres, pourraient réduire les risques de violation en éliminant les composants logiciels vulnérables. Ce sont l’automatisation du cycle de développement des logiciels, une analyse étendue des langages et des écosystèmes de développement afin de donner une image plus robuste de l’ensemble du système, la prise en main par les gouvernements de la réglementation sur le monde des logiciels libres, au lieu de l’autorégulation par les organisations.

    Source : Rapport de Sonatype, Blog de Sonatype

    Et vous ?

    Que pensez-vous de ce rapport ?

    Voir aussi

    La France sacrée championne d'Europe du logiciel libre et de l'open source, devant l'Allemagne et le Royaume-Uni
    Le marché mondial des services open source devrait augmenter de 200 % d'ici 2022, avec un taux d'accroissement annuel de 23,65 %, d'après ReportBuyer
    Liste des logiciels libres recommandés par l'État en 2017 mise à jour par le SILL, de nouveaux entrants dans la rubrique virtualisation
    SILL 2018 : l'État actualise son référentiel de logiciels libres, qu'est-il recommandé pour la conception et le développement logiciel cette année ?
    Quelles sont les technologies les plus utilisées dans le monde Linux en 2017 ? Un sondage réalisé par la communauté LinuxQuestions.org
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Nouveau Candidat au Club Avatar de JeanBond
    Femme Profil pro
    Étudiante
    Inscrit en
    septembre 2018
    Messages
    30
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Autre

    Informations professionnelles :
    Activité : Étudiante

    Informations forums :
    Inscription : septembre 2018
    Messages : 30
    Points : 0
    Points
    0

    Par défaut

    Les vulnérabilités de la chaîne logistique des logiciels libres ont doublé en 1 an
    Alors ça doit être pire concernant les logiciels propriétaire
    La définition de la folie, c'est de refaire toujours la même chose, et d'attendre des résultats différents. - Albert Einstein

  3. #3
    Membre habitué
    Profil pro
    Inscrit en
    mars 2006
    Messages
    64
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2006
    Messages : 64
    Points : 145
    Points
    145

    Par défaut

    La publicité de certaines boites sous couvert de billets d'informations sur Developpez.com franchement je commence à en avoir marre.

  4. #4
    Nouveau Candidat au Club
    Homme Profil pro
    .
    Inscrit en
    mai 2015
    Messages
    587
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Angola

    Informations professionnelles :
    Activité : .

    Informations forums :
    Inscription : mai 2015
    Messages : 587
    Points : 0
    Points
    0

    Par défaut

    Alors ça doit être pire concernant les logiciels propriétaire
    Justement.. on ne le sais pas... si la faille n'est pas connue elle ne sais etre exploitee.. par definition

  5. #5
    Membre éprouvé
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juin 2004
    Messages
    333
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : juin 2004
    Messages : 333
    Points : 1 107
    Points
    1 107

    Par défaut

    Vive le Trolldi !

  6. #6
    Membre extrêmement actif Avatar de Jon Shannow
    Homme Profil pro
    Responsable de service informatique
    Inscrit en
    avril 2011
    Messages
    2 819
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 55
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Responsable de service informatique
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : avril 2011
    Messages : 2 819
    Points : 4 377
    Points
    4 377

    Par défaut

    J'adoooore !

    Sous prétexte qu'une étude met en lumière les failles du logiciel libre, alors 1) on déclare sans aucune preuve et sans aucune source que ça doit être pire pour les logiciels propriétaire, 2) on parle de troll.


    Pitoyable !

    On est au niveau du végan qui casse une vitrine de boucherie, ou d'un catho qui mélange PMA et GPA.
    Au nom du pèze, du fisc et du St Estephe
    Au nom du fric, on baisse son froc...

  7. #7
    Membre éprouvé
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juin 2004
    Messages
    333
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : juin 2004
    Messages : 333
    Points : 1 107
    Points
    1 107

    Par défaut

    Citation Envoyé par Jon Shannow Voir le message
    J'adoooore !

    Sous prétexte qu'une étude met en lumière les failles du logiciel libre, alors 1) on déclare sans aucune preuve et sans aucune source que ça doit être pire pour les logiciels propriétaire, 2) on parle de troll.


    Pitoyable !

    On est au niveau du végan qui casse une vitrine de boucherie, ou d'un catho qui mélange PMA et GPA.
    N'empêche, en 6 posts, on a ~86.666% de troll

  8. #8
    Membre habitué
    Profil pro
    Inscrit en
    mars 2006
    Messages
    64
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2006
    Messages : 64
    Points : 145
    Points
    145

    Par défaut

    Citation Envoyé par Jon Shannow Voir le message
    J'adoooore !

    Sous prétexte qu'une étude met en lumière les failles du logiciel libre, alors 1) on déclare sans aucune preuve et sans aucune source que ça doit être pire pour les logiciels propriétaire, 2) on parle de troll.


    Pitoyable !

    On est au niveau du végan qui casse une vitrine de boucherie, ou d'un catho qui mélange PMA et GPA.
    Bah je te conseille avant de répondre d'aller lire l'étude en question (comme j'ai fais avant de poster) et après on pourra en débattre. Moi je trouve avoir perdu mon temps ce matin à lire leurs doc qui n'est là que pour vendre leurs produits.
    Etude de Sonatype.

  9. #9
    Membre chevronné

    Homme Profil pro
    Retraité
    Inscrit en
    juin 2012
    Messages
    1 002
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Retraité
    Secteur : Biens de consommation

    Informations forums :
    Inscription : juin 2012
    Messages : 1 002
    Points : 1 905
    Points
    1 905

    Par défaut

    Alors ça doit être pire concernant les logiciels propriétaire
    Pour l'open source c'est effectivement facile de récupérer le code source, d'y inclure une merde et le diffuser ensuite.
    Pour le propriétaire c'est tout aussi simple de véroler l'installeur et de le mettre en téléchargement.
    Moralité: Toujours télécharger sue le site de l'éditeur officiel et sur un projet toujours actif.
    la prise en main par les gouvernements de la réglementation sur le monde des logiciels libres
    Aie, aie, aie...

Discussions similaires

  1. Réponses: 10
    Dernier message: 04/01/2016, 14h30
  2. Réponses: 3
    Dernier message: 09/01/2012, 16h31
  3. Réponses: 4
    Dernier message: 21/10/2010, 17h06
  4. Réponses: 4
    Dernier message: 24/07/2009, 15h12
  5. Utilisation des logiciels libres en entreprise
    Par pruderic dans le forum Général Java
    Réponses: 7
    Dernier message: 08/10/2008, 11h25

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo