Discussion :

[Stéphane le calme]

Les violations de données par le biais de l'open source ont augmenté de 71% ces 5 dernières années,
selon un rapport

Les violations de données par le biais de logiciels open source ont augmenté de 71% au cours des cinq dernières années, tandis que 26% des entreprises ont signalé une violation confirmée ou présumée d'applications Web au cours de la seule année écoulée, selon un nouveau rapport.

La course à une plus grande vitesse dans DevOps a également soulevé la marée des logiciels open source. Aujourd'hui, plus de 85% d'une application moderne est construite à partir de composants open source, les développeurs choisissant de télécharger en une seconde ce qu'ils pourraient prendre des jours, voire des semaines à développer de zéro.

Alors que les développeurs de logiciels ont augmenté de manière exponentielle leur dépendance aux composants logiciels open source, nous avons appris que tous les composants ne sont pas créés égaux. De Heartbleed d’OpenSSL à Poodle, en passant par Bash, et Struts2, les violations liées à l’open source sont à la hausse.

En ce qui concerne les pratiques de DevSecOps, nous avons constaté que de plus en plus d'entreprises investissaient dans des contrôles qui commençaient par garder un inventaire de tous les composants utilisés. Les répondants à l'enquête ont également révélé qu'il était difficile d'ignorer l'automatisation des pratiques de sécurité liées à la gouvernance open source.

L’automatisation de la sécurité porte ses fruits pour le DevOps Élite, mais cela n’est peut-être pas directement apparent. Lorsque l'on compare les violations liées à l'open source au sein du groupe DevSecOps Elite avec celles utilisant des pratiques DevOps immatures, les pratiques les plus matures font apparaître un pourcentage plus élevé de violations. Avec moins de visibilité et moins de contrôles autour de l'open source dans des organisations moins matures, nous avons suspecté que les brèches inférieures dans le groupe d'immatures étaient davantage une indication du manque de sensibilisation à la brèche.

Lorsque le rapport parle d'Élite, il fait référence à des équipes qui ont suffisamment gagné en maturité

Une des questions clés que nous posons chaque année concerne le niveau de maturité DevOps d’une organisation. L'enquête a demandé aux participants d'auto-identifier leur niveau de maturité DevOps parmi une variété de choix. Nous avons encore une fois comparé les résultats de ceux qui utilisaient des pratiques DevOps matures avec ceux dont les pratiques étaient peu ou pas développées.

Dans de nombreux cas, les réponses au sondage ont été dramatiques et révélatrices. Les réponses à notre sondage de 2019 ont révélé où les équipes de DevOps ont intégré et automatisé la sécurité, où les pratiques ont « changé de direction » et où les efforts de collaboration entre les équipes de Dev, Ops et Sec portent leurs fruits. Nous avons également exploré quelles industries ont le plus progressé dans la transition des méthodes de développement agiles et en cascade aux pratiques DevOps.

Quels types de pratiques de développement / déploiement sont utilisés dans votre entreprise?

L’étude de Sonatype, spécialiste de la gouvernance open source, montre également que 41% des dirigeants admettent que leur entreprise ne suit pas de programme de gouvernance open source.

« Les composants open source, qui représentent 80 à 90% d'une application d'entreprise, ont joué un rôle déterminant dans l'innovation et l'accélération des délais de mise sur le marché », a déclaré Derek Weeks, vice-président et avocat de DevOps chez Sonatype. « Mais avec 50% des composants téléchargés contenant une vulnérabilité connue, il est essentiel que les entreprises mettent en œuvre une gouvernance logicielle appropriée afin de garantir la qualité, et la sécurité, de leurs applications dès le début ».

Les pratiques de DevSecOps aident toutefois les entreprises à renforcer leurs capacités en matière de cybersécurité. Parmi les organisations interrogées, 81% de celles ayant des programmes élites DevSecOps avaient un plan de réponse en matière de cybersécurité, contre 62% des autres. Les sociétés Elite DevSecOps sont également trois fois plus susceptibles de dispenser une formation en sécurité des applications. D’autres résultats clés montrent que 62% des répondants disposant de programmes élites ont mis en place un programme de gouvernance open source, contre seulement 25% de ceux qui n’ont pas de pratiques DevOps.

D'autres conclusions mettent en évidence les problèmes de ressources auxquels font face les entreprises et montrent que peu de progrès ont été accomplis. Pour la troisième année consécutive, près de la moitié (48%) des développeurs ont déclaré qu’ils considéraient la sécurité comme une priorité, mais qu’ils n’avaient pas suffisamment de temps à lui consacrer. En parallèle, 50% des personnes interrogées utilisant une infrastructure de cloud s'appuient sur le fournisseur de cloud pour assurer la sécurité au lieu de se gérer elles-mêmes.

« À une époque où les développeurs sont sous pression et incapables de trouver suffisamment de temps pour la sécurité, le besoin de tests automatisés de sécurité des applications devient encore plus évident », conclut Weeks. « La communauté DevSecOps nous a montré que les organisations d'élite effectuaient beaucoup moins de travail manuel, augmentant l'efficacité, ce qui les a aidés simultanément à améliorer leurs capacités en matière de cybersécurité et à mieux se préparer aux incidents de sécurité à mesure qu'ils surviennent ».

Source : rapport

Et vous ?

Utilisez-vous des logiciels / bibliothèque open source en entreprise ou développez-vous à chaque fois de zéro un utilitaire qui peut servir aux besoins de l'entreprise ?
Votre entreprise effectue-t-elle régulièrement des mises à jour ?
Votre entreprise garde-t-elle une trace de tous les logiciels / bibliothèques open source utilisés ?

Voir aussi :

L'IA remplacera la plupart des emplois actuels, mais avec une forte augmentation de la richesse globale selon Sam Altman, cofondateur d'OpenAI
Google lance Flutter 1.2, son SDK open source de développement d'apps mobiles iOS et Android, et Dart DevTools, une suite d'outils de programmation
C'est un téléphone annoncé comme open source et personnalisable via l'EDI pour Arduino : le WiPhone est estimé à moins de 100 $
La Linux Foundation compte 34 nouveaux membres, parmi lesquels des entreprises et des ONG, qui ont décidé de s'investir davantage sur l'open source

[Paul TOTH]

je ne comprend pas bien pourquoi on s'intéresse à l'OpenSource dans cette étude....car on a très exactement les mêmes problèmes, avec des produits fermés.

que j'utilise une version dépréciée de OpenSSL ou une version dépréciée d'une solution SSL privée, les problèmes de sécurité sont les mêmes.

Les coûts de maintenance ne sont pas du tout les mêmes par contre

[halaster08]

je ne comprend pas bien pourquoi on s'intéresse à l'OpenSource dans cette étude....car on a très exactement les mêmes problèmes, avec des produits fermés.

Tout simplement pour orienté l'étude, probablement payée par une/des sociétés contre l'OpenSource
Celui qui ça et ne se pose pas plus de question retient l'OpenSource c'est dangereux et c'est tout
Il me semble d'ailleurs que c'est pas la première fois qu'on voit ce genre d'article, critiquant l'OpenSource tout en omettant volontairement que c'est pareil pour les produits fermés.

[gangsoleil]

je ne comprend pas bien pourquoi on s'intéresse à l'OpenSource dans cette étude....car on a très exactement les mêmes problèmes, avec des produits fermés.

Oui, mais en fait l'article ici sort des bribes de leur contexte. L'étude peut se résumer par "Devenez full DevSecOps, vous aurez plus de sécurité -- et pour ce faire, passez par nous". Elle est clairement orientée Dev(Sec)Ops, l'open-source n'est qu'un chapitre parmi d'autres.


Dans ce cadre, ils montrent que de plus de projets se basent sur des composants open-source, mais que beaucoup d'entreprises n'ont pas pris en compte cette évolution, et n'ont pas de suivi de ces composants. À aucun moment il n'est qusetion de closed-source, car le point n'est pas là, mais bien de montrer que le suivi des applications tiers est nécessaire pour avoir de la sécurité.

[Mingolito]

Tout simplement pour orienté l'étude, probablement payée par une/des sociétés contre l'OpenSource

Après enquête faite par l'avisé Gangsoleil il apparait que tu viens juste de proférer un propos complôtiste et erroné
On vie quand même une drôle d'époque, tout est devenu complôt...

Moi je dit que cette "étude" a été payée par les reptiliens, je suis crédible ou pas ?
C'est lui le responsable :



Trêve de plaisanterie, c'est bien Gangsoleil qui a découvert le pot aux roses, oui on peu se faire du fric avec l'open source, et beaucoup même, sur les services....

[Kapeutini]

J'en utilise pas mal et je me posais la question justement.