Près d'un professionnel de l'industrie sur deux a réduit son utilisation de l'open source pour des craintes liées à la sécurité,
Log4j étant le principal moteur

Selon une enquête menée par la société de science des données Anaconda, environ 40 % des professionnels de l'industrie affirment que leurs organisations ont réduit leur utilisation de logiciels open source en raison de problèmes de sécurité. L'édition 2022 du State of Data Science report de la société a sollicité l'avis en avril et mai de 3 493 personnes de 133 pays et régions, ciblant des universitaires, des professionnels de l'industrie et des étudiants. Environ 16 % des répondants se sont identifiés comme des scientifiques des données.

Nom : individus.png
Affichages : 991
Taille : 175,7 Ko

Environ 33 % des professionnels de l'industrie interrogés ont déclaré qu'ils n'avaient pas réduit leur recours à l'open source, 7 % ont déclaré qu'ils avaient augmenté leur utilisation et 20 % ont déclaré qu'ils n'étaient pas sûrs. Les 40% restants ont dit qu'ils l'avaient fait.

Par professionnels de l'industrie, ou répondants commerciaux comme le dit Anaconda, le biz signifie un mélange d'analystes commerciaux, de chefs de produit, de scientifiques et d'ingénieurs en données et en apprentissage automatique, d'informaticiens standard tels que les administrateurs système et d'autres personnes dans le domaine de la technologie, des finances, conseils, santé, etc.

Et par réduction du recours à l'open source, cela ne veut pas dire qu'il y a un arrêt : 87 % des entreprises interrogées ont déclaré que leur organisation autorisait toujours l'utilisation de l'open source. Il semble cependant qu'un bon nombre d'entre eux cherchent à réduire le risque de s'appuyer sur trop de dépendances open source.

Le rapport d'Anaconda a révélé que des incidents comme Log4j et des rapports de "protestware" ont incité les utilisateurs de logiciels open source à prendre plus au sérieux les problèmes de sécurité. Sur les 40 % qui ont réduit leur utilisation de l'open source, plus de la moitié l'ont fait après le fiasco de Log4j.

Quelque 31 % des personnes interrogées ont déclaré que les vulnérabilités de sécurité représentent le plus grand défi de la communauté open source aujourd'hui.

La plupart des organisations utilisent des logiciels open source, selon Anaconda. Mais parmi les 8 % de répondants indiquant qu'ils ne le font pas, plus de la moitié (54 %, en hausse de 13 % depuis l'année dernière) ont cité les risques de sécurité comme raison.

Parmi les autres raisons de ne pas utiliser de logiciels open source, citons : le manque de compréhension (38 %) ; manque de confiance dans la gouvernance informatique de l'organisation (29 %) ; « les logiciels open source sont considérés comme non sécurisés, ils ne sont donc pas autorisés » (28 %) ; et ne pas vouloir perturber les projets en cours (26 %).

L'enquête d'Anaconda a également fait état d'inquiétudes concernant le manque de compétences techniques, 90 % des répondants professionnels s'inquiétant d'une pénurie de talents. Quelque 64 % ont déclaré que leur plus grande préoccupation était de pouvoir recruter et retenir des talents et 56 % ont estimé que le manque de talents en science des données représentait l'un des principaux obstacles aux efforts de science des données d'entreprise.

Python continue d'être le langage préféré pour les types de science des données. Parmi les répondants au sondage, 31 % ont déclaré l'utiliser "toujours" et 27 % ont déclaré l'utiliser "fréquemment". Julia, à titre de comparaison, a obtenu 3% de "toujours" et 12% de "souvent".

L'attention portée à l'éthique dans la science des données continue d'être décevante. L'enquête a révélé que 24 % des personnes interrogées ont déclaré que leurs organisations ne disposaient pas de normes, de politiques ou d'outils de mesure pour traiter l'équité et les préjugés algorithmiques. 15 % supplémentaires ne savent pas comment leurs organisations font face à ces défis.

Les institutions académiques s'en sortent encore moins bien dans l'enquête à ce sujet. Parmi les répondants de la filière universitaire, seulement 19 % ont déclaré que leurs établissements enseignent l'éthique en science des données et en apprentissage automatique et 20 % ont déclaré que l'éthique est couverte dans les cours de leurs domaines respectifs.

Seulement 23 % des répondants universitaires et 21 % des étudiants ont déclaré que les préjugés en IA/ML/science des données sont enseignés régulièrement. Environ 39 % ont déclaré qu'il était rarement enseigné et 36 % ont déclaré qu'il n'était jamais enseigné, ce qui, selon Anaconda, représente une diminution d'au moins 9 % d'une année sur l'autre par rapport à l'enquête 2021 de l'entreprise.

Environ un tiers (32 %) des répondants ont déclaré que les effets sociaux des biais dans les données et les modèles sont le plus gros problème de l'IA/ML/science des données aujourd'hui.

« Il y a certainement de la place pour mettre davantage l'accent sur l'éthique et les préjugés dans le domaine de l'éducation », indique l'enquête.

Nom : controle.png
Affichages : 903
Taille : 43,4 Ko

Quelques points clés

Alors que les logiciels open source ont été créés par et pour les développeurs, ils font désormais partie intégrante du développement de logiciels commerciaux et constituent l'épine dorsale de l'innovation continue de l'entreprise. Parmi les personnes interrogées, 20 % ont identifié la vitesse d'innovation et l'abordabilité de l'open source comme les avantages les plus appréciés de son utilisation.

Interrogés sur les plus grandes menaces à l'innovation et au progrès au sein de la communauté open source, les répondants se sont concentrés sur plusieurs domaines :

Les inquiétudes autour de la sécurité open source augmentent

La sécurité open source continue d'être une priorité, compte tenu des incidents qui ont troublé l'industrie au cours de l'année dernière, notamment la violation de Log4j et la montée des logiciels de protestation. En conséquence, 40 % des professionnels interrogés ont indiqué que leurs organisations avaient réduit leur utilisation de logiciels open source au cours de l'année écoulée en raison de préoccupations liées à la sécurité. De plus, 31 % des professionnels ont déclaré que les « vulnérabilités de sécurité » étaient le plus grand défi de la communauté open source aujourd'hui.

Alors que la plupart des organisations utilisent des logiciels open source, sur les 8 % des répondants dont les organisations ne le font pas, 54 % ont déclaré que la principale raison était la peur des vulnérabilités, des expositions ou des risques potentiels. Il s'agit d'une augmentation de 13 % par rapport au rapport de 2021, réaffirmant la sensibilisation accrue à la sécurité dans l'industrie en 2022.

Les pénuries de talents affligent les organisations

Les organisations qui tentent d'intensifier leurs efforts en matière de science des données et d'accélérer les progrès et l'adoption de la technologie ont dû surmonter les effets des défis de la pénurie de talents. 90 % des professionnels interrogés ont indiqué que leurs organisations étaient préoccupées par l'impact potentiel d'une pénurie de talents, 64 % d'entre eux déclarant qu'ils étaient surtout préoccupés par la capacité de leur organisation à recruter et à retenir des talents techniques. 56 % estiment que le manque de talents ou d'effectifs dans le domaine de la science des données est l'un des principaux obstacles à l'adoption réussie de la science des données par les entreprises.

« Avec les scientifiques des données continuellement cités comme l'une des meilleures carrières aux États-Unis, le bassin de talents est sûr de rattraper la demande », a déclaré Jessica Reeves, vice-présidente principale des opérations chez Anaconda. « Les solutions qui se sont révélées efficaces pour aider à combler cet écart comprennent la mise à niveau des effectifs existants et la possibilité d'options de travail à distance plus solides. Les organisations devraient renforcer les outils et les ressources disponibles pour l'apprentissage continu, et les établissements universitaires devraient combler les lacunes en matière de compétences des étudiants et les transformer en atouts alors qu'ils se préparent à entrer sur le marché du travail ».

L'éthique, les préjugés et la réglementation nécessitent plus d'attention, en particulier dans l'éducation

Les défis éthiques de l'IA, du ML et de la collecte de données n'ont jamais été aussi présents dans la conscience publique, mais des progrès sont encore nécessaires dans l'espace. 75 % des répondants professionnels estiment que le gouvernement devrait jouer un rôle plus important dans le renforcement de l'innovation technologique et de la fabrication, 70 % affirmant qu'ils soutiendraient davantage de financement pour les STIM (science, technologie, ingénierie et mathématiques) et la scolarisation basée sur la technologie. En revanche, seuls 19 % des étudiants interrogés apprennent actuellement l'éthique dans les cours d'IA/ML/science des données, et 32 % des étudiants ont rarement ou jamais appris les préjugés dans les cours d'IA/ML/science des données. Ces résultats soulignent la nécessité pour les établissements d'enseignement d'ajuster les parcours d'apprentissage pour refléter et préparer ceux qui entrent sur le marché du travail et façonnent l'avenir de la science des données.

« C'est incroyable ce que la communauté a accompli au cours de la dernière décennie seulement. De nombreuses entreprises n'existeraient pas sans les fondations open source sur lesquelles elles reposent aujourd'hui », a déclaré Peter Wang, PDG et cofondateur d'Anaconda. « Mais pour relever ces défis avec succès et continuer à innover dans la future entreprise, nous devons continuer à réinvestir dans la communauté open source et son infrastructure. J'ai bon espoir quant aux priorités de l'industrie et à la prochaine génération de talents entrant sur le marché du travail ».

Log4J et les dépendances affectées

Log4j est une bibliothèque de journalisation open source basée sur Java utilisée dans des millions d'applications. En décembre 2021, une vulnérabilité dans Log4J a été découverte. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance s'il a la capacité de soumettre une donnée à une application qui utilise la bibliothèque log4j pour journaliser l'évènement. Cette attaque peut être réalisée sans être authentifiée, par exemple en tirant parti d'une page d'authentification qui journalise les erreurs d'authentification. Les entreprises spécialisées en cybersécurité ont indiqué que les attaques profitant de cette faille se sont multipliées. Sans compter que d'autres vulnérabilités ont été découvertes tandis que les correctifs étaient publiés.

James Wetter et Nicky Ringland, membres de l'équipe Google Open Source Insights, ont déclaré dans un rapport que, bien souvent, lorsqu'une faille de sécurité Java majeure est détectée, elle n'affecte généralement que 2% de l'index Maven Central. Cependant, les 35 000 packages Java vulnérables à Log4Shell représentent environ 8 % du total de Maven Central d'environ 440 000, un pourcentage que les deux ont décrit en utilisant un seul mot : « énorme ».

« Plus de 35 000 packages Java, représentant plus de 8 % du référentiel Maven Central (le référentiel de packages Java le plus important), ont été touchés par les vulnérabilités log4j récemment divulguées, avec des retombées généralisées dans l'industrie du logiciel. Les vulnérabilités permettent à un attaquant d'exécuter du code à distance en exploitant la fonctionnalité de recherche JNDI non sécurisée exposée par la bibliothèque de journalisation log4j. Cette fonctionnalité exploitable était activée par défaut dans de nombreuses versions de la bibliothèque.

« Cette vulnérabilité a captivé l'écosystème de la sécurité de l'information depuis sa divulgation le 9 décembre en raison à la fois de sa gravité et de son impact généralisé. En tant qu'outil de journalisation populaire, log4j est utilisé par des dizaines de milliers de progiciels (appelés artefacts dans l'écosystème Java) et de projets dans l'ensemble de l'industrie du logiciel. Le manque de visibilité de l'utilisateur sur ses dépendances et ses dépendances transitives a rendu l'application des correctifs difficile ; cela a également rendu difficile la détermination du rayon d'explosion complet de cette vulnérabilité. En utilisant Open Source Insights, un projet pour aider à comprendre les dépendances open source, nous avons examiné toutes les versions de tous les artefacts dans le référentiel central Maven pour déterminer l'étendue du problème dans l'écosystème open source des langages basés sur JVM, et pour suivre les efforts en cours pour atténuer les paquets affectés ».

Source : Anaconda

Et vous ?

Comprenez-vous l'hésitation des entreprises concernant la façon dont elles embrassent l'open source suite à l'impact potentiel des vulnérabilités découvertes qui peuvent les impacter ?
Partagez-vous l'aspect « manque de talent » évoqué par le rapport pour expliquer l'une des difficultés d'accéder et de profiter de l'open source pour les entreprises ?
Que pensez-vous de l'open source en général ?
Que pensez-vous des conclusions de ce rapport ? Vous semblent-elles s'appliquer à votre entreprise ?

Voir aussi :

Log4j : une entreprise du Fortune 500 exige des réponses rapides et gratuites du créateur de cURL, qui leur a indiqué qu'il le ferait « dès que nous aurons signé un contrat de support »
Plus de 35 000 packages Java impactés par les vulnérabilités Log4j, selon un rapport de l'équipe open source de Google
Une quatrième vulnérabilité découverte dans la bibliothèque de journalisation Log4J, les utilisateurs sont conviés à passer à la version 2.17.1