IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

85 % des bases de code de logiciels Open Source utilisent des composants dépassés, et constituent des menaces


Sujet :

Sécurité

  1. #1
    Communiqués de presse

    Femme Profil pro
    Rédacteur technique
    Inscrit en
    Mai 2018
    Messages
    2 132
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 33
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Mai 2018
    Messages : 2 132
    Points : 158 207
    Points
    158 207
    Par défaut 85 % des bases de code de logiciels Open Source utilisent des composants dépassés, et constituent des menaces
    Les vulnérabilités Open Source constituent des menaces pour la sécurité : 85 % des bases de code utilisent des composants dépassés, et 88 % des composants qui ne sont pas de la dernière version

    Les logiciels Open Source sont presque présents partout où l'on va sur Internet ou dans tout ce qui implique des connexions numériques. Cependant, ils soulèvent quelques questions quant à leur sécurité. Un rapport publié récemment par Synopsys se penche sur cette question

    Les chercheurs se sont penchés sur les risques de sécurité que présentent les logiciels libres disponibles sur le marché. Ils examinent les vulnérabilités, les problèmes de licence et les dangers de l'open-source.

    Le rapport fournit des informations surprenantes sur les menaces de sécurité liées à l'open source. Il indique que l'open source est la base de nombreux logiciels construits aujourd'hui. Quelle que soit leur échelle, les industries utilisent l'open source pour leurs activités quotidiennes. Les risques de sécurité liés à l'absence de gestion de l'open source sont transmis à tout ce qui est construit par-dessus.

    Les logiciels libres obsolètes sont encore utilisés aujourd'hui. Les rapports mettent en évidence les versions très vulnérables de Log4j qui sont présentes et utilisées en permanence. Au vu des chiffres, 2097 bases de code ont été examinées, et près de 85 % d'entre elles utilisaient des composants qualifiés de dépassés aujourd'hui. Environ 88 % utilisaient des composants qui ne sont pas de la dernière version et présentent des risques pour la sécurité. Enfin, près de 5 % contenaient la version de Log5j, qui présente un risque pour la sécurité.

    Nom : 1-sec.png
Affichages : 1648
Taille : 204,3 Ko

    Comment faire face aux risques posés par les logiciels Open Source ?

    Il semblerait que les vulnérabilités des Open Source soient en baisse, comme le montrent les bases de code évaluées. Des évaluations de la sécurité et des risques ont été effectuées sur près de 2097 bases de code évaluées. Il en résulte une diminution des vulnérabilités présentes dans les logiciels Open Source. En outre, une diminution de près de 11 % a été signalée dans les bases de code auditées qui comportaient au moins une vulnérabilité de sécurité. Cette année, le chiffre est fixé à 49 %. OSSRA a signalé une diminution de près de 3 % des vulnérabilités des sources ouvertes. Environ 81 % des bases de code évaluées ont été analysées pour cette statistique.

    Le rapport examine également les conflits de licence liés à l'open source. Ils devraient passer de 65 % en 2020 à 53 % en 2021. Il est prévu que les conflits de licence continuent de baisser. Plus de 20 % des bases de code évaluées ne comportaient aucune licence. S'il y en avait une, il s'agissait d'une licence personnalisable. Fondamentalement, l'octroi de licences vous donne le droit d'utiliser un produit particulier à des fins commerciales. L'absence de licence peut, à terme, constituer un risque juridique. Il peut être difficile de procéder à des évaluations juridiques, car elles sont accessibles à tous et partout.

    L'analyse complète suggère qu'ils peuvent comporter des menaces sécuritaires et juridiques en raison des multiples vulnérabilités et des problèmes de licence. Toutefois, les arguments en faveur des licences peuvent être défendus. Il n'en reste pas moins que lorsqu'il s'agit d'utiliser des composants obsolètes comme base, cela peut rapidement être oublié et devenir une menace importante.

    Nom : 2.png
Affichages : 1566
Taille : 158,9 Ko

    Source : Synopsys

    Et vous ?

    Trouvez-vous ce rapport pertinent ?

    Voir aussi :

    Plus de 35 000 packages Java impactés par les vulnérabilités Log4j, selon un rapport de l'équipe open source de Google

    La Maison Blanche s'entretient avec les patrons de Google, Apple, Microsoft, Amazon pour discuter de la sécurité des projets open source, après la vulnérabilité Log4J

    Synopsys présente Code Sight Standard Edition pour permettre le développement sécurisé de logiciels, en détectant les vulnérabilités de sécurité dans le code source et les dépendances open source

    Le premier correctif de la vulnérabilité critique zero day Log4J a sa propre vulnérabilité qui est déjà exploitée, les entreprises sont exhortées à utiliser le second
    Publication de communiqués de presse en informatique. Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Membre confirmé Avatar de nl.smart
    Homme Profil pro
    ouvrier
    Inscrit en
    Avril 2019
    Messages
    154
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Meurthe et Moselle (Lorraine)

    Informations professionnelles :
    Activité : ouvrier
    Secteur : Industrie

    Informations forums :
    Inscription : Avril 2019
    Messages : 154
    Points : 522
    Points
    522
    Par défaut Freebox et samba
    Bonjour,

    En parlant de composants dépassés ou non mis à jour...

    Quelqu'un sait si le protocole samba utilisé par le FAI free dans ses boxes est bien à jour ?

    Dans les sources de la boxe il apparait version 3 alors que samba en est à la version 4, ou il y a un truc qui m’échappe, merci pour vos lumières.

  3. #3
    Communiqués de presse

    Femme Profil pro
    Rédacteur technique
    Inscrit en
    Mai 2018
    Messages
    2 132
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 33
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Mai 2018
    Messages : 2 132
    Points : 158 207
    Points
    158 207
    Par défaut 96 % des vulnérabilités connues des logiciels libres peuvent facilement être évitées, selon Sonatype
    96 % des vulnérabilités connues des logiciels libres peuvent facilement être évitées mais sont ignorés, alors que les attaques de la chaîne d'approvisionnement logicielle ne cesse d'augmenter

    La consommation de logiciels libres n'ayant jamais été aussi importante, les attaques visant la chaîne d'approvisionnement en logiciels ont également augmenté, tant en fréquence qu'en complexité. Un nouveau rapport révèle une augmentation de 633 % d'une année sur l'autre des attaques malveillantes visant l'open source dans les référentiels publics -- ce qui équivaut à une augmentation annuelle moyenne de 742 % des attaques de la chaîne d'approvisionnement logicielle depuis 2019.

    Le dernier rapport State of the Software Supply Chain Report de Sonatype, publié aujourd'hui au DevOps Enterprise Summit, révèle également que 96 % des téléchargements de Java open source présentant des vulnérabilités connues auraient pu être évités parce qu'une meilleure version était disponible, mais qu'ils ont été ignorés.

    "Ce résultat étonnant souligne à quel point il est essentiel pour les équipes d'ingénieurs de continuer à se former aux risques liés aux logiciels libres et d'adopter une automatisation intelligente pour soutenir leurs efforts. Les humains sont faillibles, et la marée écrasante de renseignements sur les dépendances que les développeurs doivent interpréter dans leur processus de développement quotidien va à l'encontre de la priorité accordée à la bonne qualité des logiciels ", déclare Brian Fox, cofondateur et directeur technique de Sonatype. " La bonne nouvelle, c'est que le rapport de cette année montre également qu'une gestion "optimale" des dépendances est possible. En outre, malgré l'attention constante portée à la tentative de " réparer l'open source ", les données montrent que les consommateurs d'open source peuvent apporter des changements immédiats qui auront un impact profond sur leur capacité à remédier et à répondre au prochain événement. "

    Le rapport montre également un écart entre la sécurité perçue et la réalité dans le développement de logiciels. 68 % des personnes interrogées sont convaincues que leurs applications n'utilisent pas de bibliothèques vulnérables connues, mais dans un échantillon aléatoire d'applications d'entreprise, 68 % contenaient des vulnérabilités connues.

    Nom : SON_logo_main@2x.png
Affichages : 1314
Taille : 6,9 Ko

    L'enquête révèle un biais permanent, les responsables faisant état de niveaux de maturité plus élevés que les autres. Cela n'est peut-être pas surprenant, car l'application Java moyenne contient 148 dépendances (20 de plus que l'année dernière), et le projet Java moyen est mis à jour 10 fois par an - ce qui signifie que les développeurs sont chargés de suivre les informations sur près de 1 500 changements de dépendances par an, par application sur laquelle ils travaillent.

    "Le rapport de cette année sur l'état de la chaîne logistique logicielle montre à quel point l'open source et le développement logiciel sont en constante évolution, et qu'il est impératif d'évoluer avec eux", ajoute M. Fox. "Nos recherches montrent que le nombre de dépendances par projet open source est en augmentation, et que ces dépendances sont un facteur critique de risque. Les organisations immatures attendent de leurs développeurs qu'ils restent au fait des questions de conformité aux licences, des multiples versions de projets, des changements de dépendances et de la connaissance de l'écosystème open source, en plus de leurs responsabilités professionnelles habituelles. Cela s'ajoute à des pressions externes comme la rapidité. Il n'est pas surprenant que la satisfaction professionnelle soit fortement liée à la maturité des pratiques de la chaîne logistique logicielle. Cette réalité qui donne à réfléchir démontre le besoin immédiat pour les organisations de donner la priorité à la gestion de l'offre logicielle afin de mieux gérer les risques de sécurité, d'augmenter l'efficacité des développeurs et de permettre une innovation plus rapide."

    Source : Sonatype

    Et vous ?

    Que pensez-vous de ce rapport ? le trouvez-vous pertinent ?

    Voir aussi :

    Les vulnérabilités Open Source constituent des menaces pour la sécurité : 85 % des bases de code utilisent des composants dépassés, et 88 % des composants qui ne sont pas de la dernière version

    Alors que 80 % des entreprises utilisent des logiciels open source (OSS), chiffre qui devrait atteindre 99 % l'année prochaine, seulement 1 % d'entre elles déclare ne pas s'inquiéter de la sécurité

    41 % des entreprises n'ont pas une grande confiance dans la sécurité de leurs logiciels open source, leur utilisation généralisée entraînant des risques importants

    Google lance un nouveau programme de récompense pour les vulnérabilités des logiciels open source (OSS VRP), les récompenses vont de 100 à 31 337 dollars, en fonction de la gravité de la vulnérabilité
    Publication de communiqués de presse en informatique. Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  4. #4
    Membre émérite
    Profil pro
    Inscrit en
    Juin 2009
    Messages
    900
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2009
    Messages : 900
    Points : 2 805
    Points
    2 805
    Par défaut
    Ces chiffres sont à prendre avec prudence.

    Il y a plus de détection, car aujourd'hui, il y a certainement une augmentation du nombre d'attaque, mais on y fait beaucoup plus attention qu'il y a dix ans. En outre dire que c'est facile de mettre à jour un composant, c'est de toute évidence ne pas avoir fait un projet en entreprise, ou non seulement faut pas que ça casse, mais faut aussi tout revalider et que le client veuille bien changer la version du composant inscrite dans le contrat (Java en particulier, moins vrai pour une dépendance Maven).

  5. #5
    Expert confirmé
    Homme Profil pro
    Développeur
    Inscrit en
    Août 2003
    Messages
    1 259
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Charente Maritime (Poitou Charente)

    Informations professionnelles :
    Activité : Développeur

    Informations forums :
    Inscription : Août 2003
    Messages : 1 259
    Points : 4 038
    Points
    4 038
    Par défaut
    Avec JAVA et tous les tests unitaires,il devrait être relativement simple de mettre à niveau différentes bibliothèques 1-2x/an via Maven

  6. #6
    Expert éminent Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    Mars 2014
    Messages
    1 760
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Mars 2014
    Messages : 1 760
    Points : 7 185
    Points
    7 185
    Par défaut
    Il s'agit d'un job à temps plein dans une équipe de développement. Il faut lire le rapport pour le comprendre lorsque 68% des répondants assurent être à jour alors que 68% des outils comportent des failles en réalité. Il s'agit d'une habitude à prendre. Et il n'y a pas que les Etats-Unis qui s'y mettent : Japon et Europe suivent.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

Discussions similaires

  1. Réponses: 1
    Dernier message: 02/03/2011, 16h23
  2. Réponses: 34
    Dernier message: 06/10/2010, 12h02
  3. Réponses: 4
    Dernier message: 28/07/2009, 14h28
  4. Des licences autre que pour les logiciels open source ?
    Par declencher dans le forum Licences
    Réponses: 2
    Dernier message: 03/04/2009, 22h17
  5. recherche des logiciels open source équivalent à iTunes
    Par jamaldine dans le forum Multimédia
    Réponses: 1
    Dernier message: 09/05/2007, 19h05

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo