Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    4 264
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 4 264
    Points : 112 726
    Points
    112 726

    Par défaut Les violations de données par le biais de l'open source ont augmenté de 71% ces 5 dernières années

    Les violations de données par le biais de l'open source ont augmenté de 71% ces 5 dernières années,
    selon un rapport

    Les violations de données par le biais de logiciels open source ont augmenté de 71% au cours des cinq dernières années, tandis que 26% des entreprises ont signalé une violation confirmée ou présumée d'applications Web au cours de la seule année écoulée, selon un nouveau rapport.

    Citation Envoyé par Sonatype
    La course à une plus grande vitesse dans DevOps a également soulevé la marée des logiciels open source. Aujourd'hui, plus de 85% d'une application moderne est construite à partir de composants open source, les développeurs choisissant de télécharger en une seconde ce qu'ils pourraient prendre des jours, voire des semaines à développer de zéro.

    Alors que les développeurs de logiciels ont augmenté de manière exponentielle leur dépendance aux composants logiciels open source, nous avons appris que tous les composants ne sont pas créés égaux. De Heartbleed d’OpenSSL à Poodle, en passant par Bash, et Struts2, les violations liées à l’open source sont à la hausse.

    En ce qui concerne les pratiques de DevSecOps, nous avons constaté que de plus en plus d'entreprises investissaient dans des contrôles qui commençaient par garder un inventaire de tous les composants utilisés. Les répondants à l'enquête ont également révélé qu'il était difficile d'ignorer l'automatisation des pratiques de sécurité liées à la gouvernance open source.

    L’automatisation de la sécurité porte ses fruits pour le DevOps Élite, mais cela n’est peut-être pas directement apparent. Lorsque l'on compare les violations liées à l'open source au sein du groupe DevSecOps Elite avec celles utilisant des pratiques DevOps immatures, les pratiques les plus matures font apparaître un pourcentage plus élevé de violations. Avec moins de visibilité et moins de contrôles autour de l'open source dans des organisations moins matures, nous avons suspecté que les brèches inférieures dans le groupe d'immatures étaient davantage une indication du manque de sensibilisation à la brèche.
    Lorsque le rapport parle d'Élite, il fait référence à des équipes qui ont suffisamment gagné en maturité

    Citation Envoyé par Sonatype
    Une des questions clés que nous posons chaque année concerne le niveau de maturité DevOps d’une organisation. L'enquête a demandé aux participants d'auto-identifier leur niveau de maturité DevOps parmi une variété de choix. Nous avons encore une fois comparé les résultats de ceux qui utilisaient des pratiques DevOps matures avec ceux dont les pratiques étaient peu ou pas développées.

    Dans de nombreux cas, les réponses au sondage ont été dramatiques et révélatrices. Les réponses à notre sondage de 2019 ont révélé où les équipes de DevOps ont intégré et automatisé la sécurité, où les pratiques ont « changé de direction » et où les efforts de collaboration entre les équipes de Dev, Ops et Sec portent leurs fruits. Nous avons également exploré quelles industries ont le plus progressé dans la transition des méthodes de développement agiles et en cascade aux pratiques DevOps.
    Nom : 1.png
Affichages : 2631
Taille : 34,2 Ko
    Quels types de pratiques de développement / déploiement sont utilisés dans votre entreprise?

    L’étude de Sonatype, spécialiste de la gouvernance open source, montre également que 41% des dirigeants admettent que leur entreprise ne suit pas de programme de gouvernance open source.

    « Les composants open source, qui représentent 80 à 90% d'une application d'entreprise, ont joué un rôle déterminant dans l'innovation et l'accélération des délais de mise sur le marché », a déclaré Derek Weeks, vice-président et avocat de DevOps chez Sonatype. « Mais avec 50% des composants téléchargés contenant une vulnérabilité connue, il est essentiel que les entreprises mettent en œuvre une gouvernance logicielle appropriée afin de garantir la qualité, et la sécurité, de leurs applications dès le début ».

    Les pratiques de DevSecOps aident toutefois les entreprises à renforcer leurs capacités en matière de cybersécurité. Parmi les organisations interrogées, 81% de celles ayant des programmes élites DevSecOps avaient un plan de réponse en matière de cybersécurité, contre 62% des autres. Les sociétés Elite DevSecOps sont également trois fois plus susceptibles de dispenser une formation en sécurité des applications. D’autres résultats clés montrent que 62% des répondants disposant de programmes élites ont mis en place un programme de gouvernance open source, contre seulement 25% de ceux qui n’ont pas de pratiques DevOps.

    Nom : 2.png
Affichages : 2859
Taille : 110,4 Ko

    D'autres conclusions mettent en évidence les problèmes de ressources auxquels font face les entreprises et montrent que peu de progrès ont été accomplis. Pour la troisième année consécutive, près de la moitié (48%) des développeurs ont déclaré qu’ils considéraient la sécurité comme une priorité, mais qu’ils n’avaient pas suffisamment de temps à lui consacrer. En parallèle, 50% des personnes interrogées utilisant une infrastructure de cloud s'appuient sur le fournisseur de cloud pour assurer la sécurité au lieu de se gérer elles-mêmes.

    « À une époque où les développeurs sont sous pression et incapables de trouver suffisamment de temps pour la sécurité, le besoin de tests automatisés de sécurité des applications devient encore plus évident », conclut Weeks. « La communauté DevSecOps nous a montré que les organisations d'élite effectuaient beaucoup moins de travail manuel, augmentant l'efficacité, ce qui les a aidés simultanément à améliorer leurs capacités en matière de cybersécurité et à mieux se préparer aux incidents de sécurité à mesure qu'ils surviennent ».

    Source : rapport

    Et vous ?

    Utilisez-vous des logiciels / bibliothèque open source en entreprise ou développez-vous à chaque fois de zéro un utilitaire qui peut servir aux besoins de l'entreprise ?
    Votre entreprise effectue-t-elle régulièrement des mises à jour ?
    Votre entreprise garde-t-elle une trace de tous les logiciels / bibliothèques open source utilisés ?

    Voir aussi :

    L'IA remplacera la plupart des emplois actuels, mais avec une forte augmentation de la richesse globale selon Sam Altman, cofondateur d'OpenAI
    Google lance Flutter 1.2, son SDK open source de développement d'apps mobiles iOS et Android, et Dart DevTools, une suite d'outils de programmation
    C'est un téléphone annoncé comme open source et personnalisable via l'EDI pour Arduino : le WiPhone est estimé à moins de 100 $
    La Linux Foundation compte 34 nouveaux membres, parmi lesquels des entreprises et des ONG, qui ont décidé de s'investir davantage sur l'open source
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert éminent sénior
    Avatar de Paul TOTH
    Homme Profil pro
    Freelance
    Inscrit en
    novembre 2002
    Messages
    7 226
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Freelance
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2002
    Messages : 7 226
    Points : 23 539
    Points
    23 539

    Par défaut

    je ne comprend pas bien pourquoi on s'intéresse à l'OpenSource dans cette étude....car on a très exactement les mêmes problèmes, avec des produits fermés.

    que j'utilise une version dépréciée de OpenSSL ou une version dépréciée d'une solution SSL privée, les problèmes de sécurité sont les mêmes.

    Les coûts de maintenance ne sont pas du tout les mêmes par contre
    Developpez.com: Mes articles, forum FlashPascal
    Entreprise: Execute SARL
    Le Store Excute Store

  3. #3
    Expert confirmé
    Homme Profil pro
    Responsable des études
    Inscrit en
    juillet 2014
    Messages
    2 027
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ardennes (Champagne Ardenne)

    Informations professionnelles :
    Activité : Responsable des études
    Secteur : Enseignement

    Informations forums :
    Inscription : juillet 2014
    Messages : 2 027
    Points : 4 274
    Points
    4 274

    Par défaut

    Citation Envoyé par Paul TOTH Voir le message
    je ne comprend pas bien pourquoi on s'intéresse à l'OpenSource dans cette étude....car on a très exactement les mêmes problèmes, avec des produits fermés.
    Tout simplement pour orienté l'étude, probablement payée par une/des sociétés contre l'OpenSource
    Celui qui ça et ne se pose pas plus de question retient l'OpenSource c'est dangereux et c'est tout
    Il me semble d'ailleurs que c'est pas la première fois qu'on voit ce genre d'article, critiquant l'OpenSource tout en omettant volontairement que c'est pareil pour les produits fermés.
    J'aimerais bien aller vivre en Théorie, car en Théorie tout se passe bien.

  4. #4
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Cyber sécurité
    Inscrit en
    mai 2004
    Messages
    9 577
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Cyber sécurité

    Informations forums :
    Inscription : mai 2004
    Messages : 9 577
    Points : 25 403
    Points
    25 403

    Par défaut

    Citation Envoyé par Paul TOTH Voir le message
    je ne comprend pas bien pourquoi on s'intéresse à l'OpenSource dans cette étude....car on a très exactement les mêmes problèmes, avec des produits fermés.
    Oui, mais en fait l'article ici sort des bribes de leur contexte. L'étude peut se résumer par "Devenez full DevSecOps, vous aurez plus de sécurité -- et pour ce faire, passez par nous". Elle est clairement orientée Dev(Sec)Ops, l'open-source n'est qu'un chapitre parmi d'autres.


    Dans ce cadre, ils montrent que de plus de projets se basent sur des composants open-source, mais que beaucoup d'entreprises n'ont pas pris en compte cette évolution, et n'ont pas de suivi de ces composants. À aucun moment il n'est qusetion de closed-source, car le point n'est pas là, mais bien de montrer que le suivi des applications tiers est nécessaire pour avoir de la sécurité.
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

  5. #5
    Membre extrêmement actif
    Homme Profil pro
    Inscrit en
    janvier 2014
    Messages
    525
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : janvier 2014
    Messages : 525
    Points : 2 486
    Points
    2 486

    Par défaut

    Citation Envoyé par halaster08 Voir le message
    Tout simplement pour orienté l'étude, probablement payée par une/des sociétés contre l'OpenSource
    Après enquête faite par l'avisé Gangsoleil il apparait que tu viens juste de proférer un propos complôtiste et erroné
    On vie quand même une drôle d'époque, tout est devenu complôt...

    Moi je dit que cette "étude" a été payée par les reptiliens, je suis crédible ou pas ?
    C'est lui le responsable :



    Trêve de plaisanterie, c'est bien Gangsoleil qui a découvert le pot aux roses, oui on peu se faire du fric avec l'open source, et beaucoup même, sur les services....

  6. #6
    Membre régulier
    Profil pro
    developpeur
    Inscrit en
    septembre 2010
    Messages
    166
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations professionnelles :
    Activité : developpeur

    Informations forums :
    Inscription : septembre 2010
    Messages : 166
    Points : 110
    Points
    110

    Par défaut open source qui cache des portes

    J'en utilise pas mal et je me posais la question justement.

Discussions similaires

  1. Réponses: 6
    Dernier message: 06/02/2019, 16h59
  2. Réponses: 4
    Dernier message: 25/05/2017, 18h09
  3. Framework pour les traitements de données par lot
    Par rahma2 dans le forum Frameworks Web
    Réponses: 0
    Dernier message: 01/07/2015, 14h34
  4. Cours sur les Structures de Données, par Henri Garetta
    Par Lana.Bauer dans le forum Algorithmes et structures de données
    Réponses: 0
    Dernier message: 07/08/2014, 22h43
  5. Réponses: 0
    Dernier message: 18/05/2007, 18h32

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo