Ces bouts de codes open source obsolètes sont utilisés un peu partout dans les entreprises, et c’est un vrai problème

Spread the love
Ces bouts de codes open source obsolètes sont utilisés un peu partout dans les entreprises, et c'est un vrai problème Oui, l’open source règne en maître dans les les systèmes d’information des entreprises et même dans les logiciels propriétaires. Tout le monde l’utilise, d’Apple à Microsoft en passant par Zoom. Vous ne me croyez pas ? Synopsys, une société éditrice de logiciel indique dans son rapport “Open Source Security and Risk Analysis 2020 (OSSRA)” que presque toutes (99%) les bases de code auditées contenaient au moins un composant open-source. C’est une bonne nouvelle. La mauvaise nouvelle est que 91% des bases de code contenant des composants open source étaient soit obsolète de plus de quatre ans, soit n’avaient connu aucune activité de développement au cours des deux dernières années.

Soulignant à quel point cela est inquiétant, Synopsys Cybersecurity Research Center (CyRC) constate que l’open source représente 70 % de l’ensemble. Cela fait beaucoup de logiciels open source obsolète et non maintenu. Les vieux logiciels, contrairement au bon vin, ne vieillissent pas bien.

Le rapport est basé sur les résultats de plus de 1 250 audits de base de code utilisé pour des logiciels commercialisés. Plus inquiétant encore, 75 % des bases de code auditées contiennent des composants open source présentant des vulnérabilités de sécurité connues. C’est une augmentation par rapport aux 60 % de 2019. Près de la moitié (49 %) des bases de codes contiennent des vulnérabilités à haut risque. C’est une augmentation par rapport aux 40 % de l’année dernière.

publicité

68 % des bases de codes contiennent des conflits de licences de logiciels libres

“Il est difficile d’ignorer le rôle vital que joue l’open source dans le développement et le déploiement de logiciels modernes, mais il est facile de négliger l’impact qu’il a sur la prise de risque que vous fait courir votre application du point de vue de la sécurité et de la conformité des licences” a déclaré Tim Mackey, de CyRC. “Le rapport OSSRA 2020 met en évidence la manière dont les organisations continuent à lutter pour suivre et gérer efficacement leurs risques liés à l’open source. Maintenir un inventaire précis des composants logiciels tiers, y compris les dépendances des logiciels libres, et le tenir à jour est un point de départ essentiel pour traiter les risques liés aux applications à plusieurs niveaux”.

Outre les problèmes de sécurité, une autre préoccupation est que 68 % des bases de codes contiennent des conflits de licences de logiciels libres. Pire encore, 33 % contiennent du code open-source sans licence identifiable. Bien que cela soit évidemment moins problématique que les failles de sécurité, les conflits potentiels de propriété intellectuelle peuvent également mettre votre entreprise en danger.

Alors, que pouvez-vous faire à ce sujet, à part demander à Synopys Black Duck Audit Services, ou à des sociétés similaires, de vérifier votre code ? L’analyste du Gartner Dale Gardner, dans son récent document de recherche Technology Insight for Software Composition Analysis, pense que nous avons besoin d’une nomenclature des logiciels. Cela permettrait aux entreprises d’avoir un aperçu complet des composants open source utilisés dans une application ou un service. Selon M. Gardner, les organisations devraient “établir en permanence une nomenclature détaillée des logiciels pour chaque application, afin de fournir une visibilité complète des composants”.

“Comprendre quels sont les composants les plus utilisés et les plus vulnérables nous permettra de contribuer à assurer la santé de l’écosystème”

Avec tous ces composants obsolètes et peu sûrs dans tous nos programmes et notre harware de plus en plus managé en mode software defined, c’est une excellente idée.

“Les logiciels libres ont longtemps été considérés comme le domaine des amateurs et des bricoleurs. Cependant, ils sont devenus à présent une composante intégrale de l’économie moderne et constitue un élément fondamental des technologies du quotidien, comme les smartphones, les voitures, l’Internet des objets et de nombreux éléments d’infrastructure essentiels. Comprendre quels sont les composants les plus utilisés et les plus vulnérables nous permettra de contribuer à assurer la santé de l’écosystème et de l’économie numérique” assure Frank Nagle, professeur à la Harvard Business School et codirecteur du projet Census II de la Fondation Linux qui étudie les codes open-source critiques.

Source : “ZDNet.com”

Leave a Reply