Discussion :

[Nancy Rey]

Un nouveau rapport alarmant, de la société Lineaje, révèle que 82 % des logiciels libres présentent des risques en raison de vulnérabilités
et de problèmes de sécurité majeurs

Selon un nouveau rapport de la société Lineaje, spécialisée dans la gestion de la sécurité de la chaîne d'approvisionnement des logiciels, 82 % des logiciels libres sont fondamentalement risqués. Le rapport précise que la cause est une combinaison de vulnérabilités majeures, de problèmes de sécurité, de problèmes de qualité du code et de problèmes de maintenance.

Les auteurs de l'étude ont ensuite expliqué en détail que 70 % de ce type de logiciels dans l'entreprise étaient des logiciels libres et que ces éléments ne font généralement pas l'objet d'un suivi régulier ni de mises à jour ou d'inventaires. Ces éléments ne font généralement pas l'objet d'un suivi régulier, ni de mises à jour ou d'inventaires, ce qui laisse de sérieuses vulnérabilités dans la chaîne d'approvisionnement des logiciels, qui pourraient être exploitées par d'autres acteurs menaçants.

Cela fait à peine une semaine que la CISA a appelé les fournisseurs de logiciels à prendre les mesures nécessaires pour mettre en place des processus de développement sécurisés qui permettent d'expédier les codes et de garantir des fonctionnalités sécurisées et prêtes à l'emploi.

L'entreprise a également constaté un risque énorme pour ces grandes solutions open-source après avoir pris en considération environ 44 % des projets les plus populaires pour cette fondation. Ils ont alors constaté une dépendance de 68 % à l'égard de logiciels non-Apache, dont les origines et les schémas de mise à jour étaient souvent opaques.

Les auteurs estiment que ces rapports constituent un avertissement clair pour les entreprises concernant les logiciels libres et les risques considérables qu'ils comportent. Et ce, en dépit de leur grande popularité et de la présence de marques bien établies.

What exactly is in open-source software? How risky can it be? The below infographic sheds insight into some of Lineaje Data Labs’ most recent findings for open-source software. Read the report at https://t.co/My4Oc4h0ug. Attending RSA? Come say hi https://t.co/Qy5vDS6gzB pic.twitter.com/lkZWZluB2L

— Lineaje (@Lineaje_Inc) April 18, 2023

De même, étant donné que de plus en plus de logiciels sont assemblés au lieu d'être construits, il devient plus important que jamais de créer des outils formels qui découvrent l'ADN du logiciel. Les développeurs n'ont donc pas de vision aux rayons X pour voir ce qui se trouve à l'intérieur du composant logiciel. De même, la plupart des sélectionneurs de logiciels libres ne sont même pas des experts en sécurité. On ne peut donc qu'imaginer les dégâts qui pourraient en résulter.

Le fait que 64 % de ces vulnérabilités n'aient pas de solution en place à l'heure actuelle signifie qu'elles ne peuvent pas être corrigées. Les entreprises doivent donc être sensibilisées au problème et prendre des mesures proactives pour gérer ces risques.

D'autre part, cette étude fournit également des recommandations aux organisations qui déploient des outils pour la gestion de la chaîne d'approvisionnement. De cette manière, vous pouvez évaluer les différents risques dynamiques ainsi que l'intégrité des différents projets en cours.

Comme vous pouvez le constater, le risque est grand et il appartient aux entreprises de prendre en compte les avertissements avant qu'il ne soit trop tard.

Source : Lineaje

Et vous ?

Trouvez-vous cette étude crédible ? Quel est votre avis sur le sujet ?

Voir aussi :

94 % des entreprises ont rencontré des problèmes de sécurité dans leurs API de production au cours de l'année écoulée, 20 % d'entre elles ont déclaré que cela avait entraîné une violation des données

Les problèmes de qualité des logiciels coûteraient à l'économie américaine 2*410 milliards de $ en 2022, contre 1 310 milliards de $ il y a deux ans, selon Synopsys

41 % des entreprises n'ont pas une grande confiance dans la sécurité de leurs logiciels open source, leur utilisation généralisée entraînant des risques importants

53 % des entreprises évitent les logiciels open source par crainte d'une augmentation des cyberattaques, en l'absence de solutions pour corriger les vulnérabilités et les failles de sécurité

[olaxius]

Qu'en est il pour les logiciels propriétaires ? ??
Le fonds de commerce de Lineage est de vendre des solutions pour sécuriser la mise en place de logiciels .
Voici ce que l'on trouve sur leur site :

Lineaje résout les problèmes critiques de sécurité de la chaîne d'approvisionnement logicielle auxquels sont confrontées toutes les organisations qui construisent, utilisent ou vendent des logiciels."

Ce genre d'étude est à prendre avec du recul surtout quand la source est juge et partie .

[AndMax]

Comme c'est présenté, avec ce titre, c'est un sujet "trolldi". Mais il est vrai qu'il faut dans tous les cas prendre en compte les avertissements, évaluer les risques, et appliquer les bonnes procédures face aux vulnérabilités, à la maintenance, etc... quel que soit le logiciel ou système, et surtout s'il est privateur et que sa licence interdit qu'on examine son "ADN".

[binarygirl]

Une boutade, mais le code sans vulnérabilité ça n'existe probablement pas
Le code propriétaire a des failles aussi, mais on ne peut non plus tout construire de zéro, et même si on le faisait on ne ferait pas forcément mieux. Il y a quand même beaucoup de projets open source qui sont mâtures et rodés. En revanche oui, on maîtrise plus difficilement le code qu'on n'a pas produit, a fortiori quand on ne connaît pas le contenu et les dépendances. Par exemple les packages qui sont fourgués avec des DLL obsolètes (et vulnérables) sont légion, même venant des grands noms de l'industrie.
Et d'ailleurs c'est intéressant de décortiquer les projets open source. On apprend beaucoup sur la façon de construire et packager une solution mais parfois on se rend compte aussi que le code est pas terrible, alors même que c'est un projet relativement "populaire". Populaire ne veut pas dire safe ou de bonne qualité.
Mais l'intérêt de l'open source c'est que:

• on peut justement examiner le contenu et se faire sa propre idée
• on peut le patcher
• et aussi garder la maîtrise à long terme au cas où le projet n'est plus maintenu

Je pense que le plus gros problème du moment avec l'open source ce sont les supply chain attacks.

Et beaucoup de failles sont théoriques, ou difficilement exploitables, surtout quand le produit n'est pas exposé directement sur Internet.

Enfin, si le libre est vulnérable, par ricochet, le propriétaire aussi. Car de nos jours, les software propriétaires embarquent de l'open source (exemple: SQLite), parfois de manière massive. Une boîte où j'ai travaillé utilise un client VPN (Watchguard si je ne dis pas de bêtise), et on voit très bien que c'est de l'OpenVPN habillé à leur sauce. L'interface admin du firewall me rappelait curieusement des éléments de Prometheus...