Open source et sécurité

Les applications d'entreprise sont truffées de code open source vulnérable

Aujourd’hui largement présents dans le code des applications d'entreprise, les composants open source cachent fréquemment des vulnérabilités, prévient un rapport publié par Synopsys. En cause, des bouts de code devenu obsolète et des correctifs non appliqués.

Photo: Lisa Fotios sur Pexels
Photo: Lisa Fotios sur Pexels

Les composants open source sont aujourd’hui omniprésents dans le développement logiciel. Les développeurs utilisent en effet régulièrement le code de référentiels open source pour l'intégrer dans les applicatifs métiers. Dans ce contexte, il est crucial de comprendre en quoi cette réalité impacte la gestion de la sécurité. Le Cybersecurity Research Center de l’éditeur Synopsys publie dans cette optique le rapport «Open Source Security and Risk Analysis», dont l’édition de 2019 examine les résultats de plus de 1200 audits d'applications d'entreprise et de bibliothèques.

Beaucoup de bouts de code obsolète

Alors que les composants open source constituaient pas moins de 96% des bases de codes auditées en 2018, près de deux tiers contenaient au moins une vulnérabilité. L'utilisation de bouts de code obsolète et non maintenu est fréquente. 85% du code audité était en effet désuet depuis plus de quatre ans ou n'avait connu aucun développement au cours des deux dernières années. «Si un composant est inactif et que personne ne l'entretient, cela signifie que personne ne s’occupe de ses vulnérabilités potentielles», souligne Synopsys. Mais même quand des patchs sont livrés, beaucoup d’entreprises n’appliquent pas la mise à jour nécessaire.

De moins en moins de composants open source vulnérables

Le rapport montre que l'âge moyen des vulnérabilités relevées en 2018 était de 6,6 ans, soit un peu plus qu'en 2017. En dépit de ce constat, la division cybersécurité de Synopsys estime que les entreprises s'améliorent dans la gestion des vulnérabilités de leurs composants open source. Car en 2017, 78% du code audité était vulnérable, contre 60% en 2018.

Synopsys souligne que le taux de vulnérabilités découvertes dans les composants open source reste faible par rapport à celui des logiciels propriétaires. Et seule une poignée de vulnérabilités open source - comme celles affectant Apache Struts ou OpenSSL - sont susceptibles d'être exploitées à large échelle.

Mettre en place une politique pour l’application des correctifs

L’éditeur recommande aux entreprises de mettre en place une politique en matière d’application des correctifs. Il convient de patcher les applications, en définissant les priorités en fonction de l’importance commerciale du système, de la criticité de l'actif et du risque d'exploitation de la faille. Il est aussi important de s’assurer que les correctifs open source proviennent soit du projet racine, soit du canal de distribution où ils ont été obtenu. Contrairement aux logiciels commerciaux, les composants open source ne font souvent pas l’objet de mises à jour de sécurité automatisées. Il est dès lors recommandé de se tenir au courant de nouvelles mises à jour ou meilleures pratiques auprès des communautés en charge des projets open source.

Webcode
DPF8_146495