IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Un nouveau rapport révèle que 82 % des logiciels libres présentent des risques en raison de vulnérabilités.


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Femme Profil pro
    Rédacteur Web
    Inscrit en
    Mars 2020
    Messages
    838
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur Web

    Informations forums :
    Inscription : Mars 2020
    Messages : 838
    Points : 58 043
    Points
    58 043
    Par défaut Un nouveau rapport révèle que 82 % des logiciels libres présentent des risques en raison de vulnérabilités.
    Un nouveau rapport alarmant, de la société Lineaje, révèle que 82 % des logiciels libres présentent des risques en raison de vulnérabilités
    et de problèmes de sécurité majeurs

    Selon un nouveau rapport de la société Lineaje, spécialisée dans la gestion de la sécurité de la chaîne d'approvisionnement des logiciels, 82 % des logiciels libres sont fondamentalement risqués. Le rapport précise que la cause est une combinaison de vulnérabilités majeures, de problèmes de sécurité, de problèmes de qualité du code et de problèmes de maintenance.

    Nom : Screenshot_2023-04-20 Alarming New Report Finds 82% Of Open Source Software Risky Thanks To Majo.png
Affichages : 1169
Taille : 424,9 Ko

    Les auteurs de l'étude ont ensuite expliqué en détail que 70 % de ce type de logiciels dans l'entreprise étaient des logiciels libres et que ces éléments ne font généralement pas l'objet d'un suivi régulier ni de mises à jour ou d'inventaires. Ces éléments ne font généralement pas l'objet d'un suivi régulier, ni de mises à jour ou d'inventaires, ce qui laisse de sérieuses vulnérabilités dans la chaîne d'approvisionnement des logiciels, qui pourraient être exploitées par d'autres acteurs menaçants.

    Cela fait à peine une semaine que la CISA a appelé les fournisseurs de logiciels à prendre les mesures nécessaires pour mettre en place des processus de développement sécurisés qui permettent d'expédier les codes et de garantir des fonctionnalités sécurisées et prêtes à l'emploi.

    L'entreprise a également constaté un risque énorme pour ces grandes solutions open-source après avoir pris en considération environ 44 % des projets les plus populaires pour cette fondation. Ils ont alors constaté une dépendance de 68 % à l'égard de logiciels non-Apache, dont les origines et les schémas de mise à jour étaient souvent opaques.

    Les auteurs estiment que ces rapports constituent un avertissement clair pour les entreprises concernant les logiciels libres et les risques considérables qu'ils comportent. Et ce, en dépit de leur grande popularité et de la présence de marques bien établies.

    De même, étant donné que de plus en plus de logiciels sont assemblés au lieu d'être construits, il devient plus important que jamais de créer des outils formels qui découvrent l'ADN du logiciel. Les développeurs n'ont donc pas de vision aux rayons X pour voir ce qui se trouve à l'intérieur du composant logiciel. De même, la plupart des sélectionneurs de logiciels libres ne sont même pas des experts en sécurité. On ne peut donc qu'imaginer les dégâts qui pourraient en résulter.

    Le fait que 64 % de ces vulnérabilités n'aient pas de solution en place à l'heure actuelle signifie qu'elles ne peuvent pas être corrigées. Les entreprises doivent donc être sensibilisées au problème et prendre des mesures proactives pour gérer ces risques.

    D'autre part, cette étude fournit également des recommandations aux organisations qui déploient des outils pour la gestion de la chaîne d'approvisionnement. De cette manière, vous pouvez évaluer les différents risques dynamiques ainsi que l'intégrité des différents projets en cours.

    Comme vous pouvez le constater, le risque est grand et il appartient aux entreprises de prendre en compte les avertissements avant qu'il ne soit trop tard.

    Source : Lineaje

    Et vous ?

    Trouvez-vous cette étude crédible ? Quel est votre avis sur le sujet ?

    Voir aussi :

    94 % des entreprises ont rencontré des problèmes de sécurité dans leurs API de production au cours de l'année écoulée, 20 % d'entre elles ont déclaré que cela avait entraîné une violation des données

    Les problèmes de qualité des logiciels coûteraient à l'économie américaine 2*410 milliards de $ en 2022, contre 1 310 milliards de $ il y a deux ans, selon Synopsys

    41 % des entreprises n'ont pas une grande confiance dans la sécurité de leurs logiciels open source, leur utilisation généralisée entraînant des risques importants

    53 % des entreprises évitent les logiciels open source par crainte d'une augmentation des cyberattaques, en l'absence de solutions pour corriger les vulnérabilités et les failles de sécurité

  2. #2
    Membre éclairé
    Profil pro
    maçon
    Inscrit en
    Novembre 2004
    Messages
    273
    Détails du profil
    Informations personnelles :
    Localisation : France, Haute Loire (Auvergne)

    Informations professionnelles :
    Activité : maçon

    Informations forums :
    Inscription : Novembre 2004
    Messages : 273
    Points : 713
    Points
    713
    Par défaut
    Qu'en est il pour les logiciels propriétaires ? ??
    Le fonds de commerce de Lineage est de vendre des solutions pour sécuriser la mise en place de logiciels .
    Voici ce que l'on trouve sur leur site :
    Lineaje résout les problèmes critiques de sécurité de la chaîne d'approvisionnement logicielle auxquels sont confrontées toutes les organisations qui construisent, utilisent ou vendent des logiciels."
    Ce genre d'étude est à prendre avec du recul surtout quand la source est juge et partie .

  3. #3
    Membre éprouvé Avatar de AndMax
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Mai 2017
    Messages
    236
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Mai 2017
    Messages : 236
    Points : 1 050
    Points
    1 050
    Par défaut
    Comme c'est présenté, avec ce titre, c'est un sujet "trolldi". Mais il est vrai qu'il faut dans tous les cas prendre en compte les avertissements, évaluer les risques, et appliquer les bonnes procédures face aux vulnérabilités, à la maintenance, etc... quel que soit le logiciel ou système, et surtout s'il est privateur et que sa licence interdit qu'on examine son "ADN".

  4. #4
    Membre chevronné
    Profil pro
    Inscrit en
    Mai 2006
    Messages
    721
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Mai 2006
    Messages : 721
    Points : 1 880
    Points
    1 880
    Par défaut
    Une boutade, mais le code sans vulnérabilité ça n'existe probablement pas
    Le code propriétaire a des failles aussi, mais on ne peut non plus tout construire de zéro, et même si on le faisait on ne ferait pas forcément mieux. Il y a quand même beaucoup de projets open source qui sont mâtures et rodés. En revanche oui, on maîtrise plus difficilement le code qu'on n'a pas produit, a fortiori quand on ne connaît pas le contenu et les dépendances. Par exemple les packages qui sont fourgués avec des DLL obsolètes (et vulnérables) sont légion, même venant des grands noms de l'industrie.
    Et d'ailleurs c'est intéressant de décortiquer les projets open source. On apprend beaucoup sur la façon de construire et packager une solution mais parfois on se rend compte aussi que le code est pas terrible, alors même que c'est un projet relativement "populaire". Populaire ne veut pas dire safe ou de bonne qualité.
    Mais l'intérêt de l'open source c'est que:
    • on peut justement examiner le contenu et se faire sa propre idée
    • on peut le patcher
    • et aussi garder la maîtrise à long terme au cas où le projet n'est plus maintenu


    Je pense que le plus gros problème du moment avec l'open source ce sont les supply chain attacks.

    Et beaucoup de failles sont théoriques, ou difficilement exploitables, surtout quand le produit n'est pas exposé directement sur Internet.

    Enfin, si le libre est vulnérable, par ricochet, le propriétaire aussi. Car de nos jours, les software propriétaires embarquent de l'open source (exemple: SQLite), parfois de manière massive. Une boîte où j'ai travaillé utilise un client VPN (Watchguard si je ne dis pas de bêtise), et on voit très bien que c'est de l'OpenVPN habillé à leur sauce. L'interface admin du firewall me rappelait curieusement des éléments de Prometheus...

Discussions similaires

  1. Réponses: 76
    Dernier message: 19/06/2024, 07h40
  2. Réponses: 44
    Dernier message: 21/03/2023, 09h22
  3. Réponses: 1
    Dernier message: 15/07/2021, 10h51
  4. Réponses: 4
    Dernier message: 24/06/2021, 09h42
  5. Réponses: 32
    Dernier message: 15/05/2013, 16h50

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo