Les vulnérabilités des projets open source populaires ont doublé en 2019

Les vulnérabilités des projets open source populaires ont doublé en 2019

Une étude a analysé les 54 principaux projets open source et montre que les failles de sécurité au sein de ces outils ont doublé en 2019, passant de 421 bugs signalés en 2018 à 968 l’an dernier.

Selon le rapport “The Dark Reality of Open Source” de RiskSense, publié aujourd’hui, la société a trouvé 2 694 bugs signalés dans des projets open source populaires entre 2015 et mars 2020.

publicité

L’analyse ne portait pas sur des projets tels que Linux, WordPress, Drupal et d’autres outils gratuits extrêmement populaires, car ces projets sont souvent surveillés et les bugs de sécurité font l’actualité, garantissant que la plupart de ces problèmes de sécurité sont corrigés assez rapidement.

Au lieu de cela, RiskSense a examiné d’autres projets open source populaires qui ne sont pas aussi bien connus mais largement adoptés par le monde de la tech. L’analyse porte sur des outils comme Jenkins, MongoDB, Elasticsearch, Chef, GitLab, Spark, Puppet et autres.

RiskSense explique que l’un des principaux problèmes rencontrés au cours de leur étude était qu’un grand nombre des bugs de sécurité qu’ils avaient analysés avaient été signalés à la National Vulnerability Database (NVD) plusieurs semaines après leur divulgation publique.

La société a déclaré qu’il fallait généralement environ 54 jours en moyenne pour que les bugs trouvés dans ces projets soient signalés sur NVD. Pour PostgreSQL, on constate même des retards de signalement s’élevant à huit mois.

Etant donné que les sociétés de logiciels de cybersécurité et informatique utilisent la base de données NVD pour créer et envoyer des alertes de sécurité, les retards ont entraîné des situations dans lesquelles les sociétés sont restées exposées aux attaques.


 

Il a également permis aux acteurs malveillants de créer et de déployer des exploits, ce qui a entraîné l’exploitation malveillante de bugs de sécurité.

RiskSense indique que sur les 54 projets analysés, le serveur d’automatisation Jenkins et le serveur de base de données MySQL présentaient les vulnérabilités les plus souvent exploitées depuis 2015, avec 15.

 

« Cependant, un grand nombre de CVE ne se traduisent pas nécessairement par des quantités tout aussi importantes de vulnérabilités exploitées », a déclaré RiskSense.

Si d’autres projets open source ont moins de bugs, ces bugs sont parfois plus faciles à exploiter, comme le cas du logiciel de virtualisation Vagrant et du système de gestion de contenu Alfresco.

Les projets open source faisant désormais partie d’environ 99 % des projets de logiciels commerciaux, RiskSense fait valoir que des améliorations sont désormais nécessaires dans la façon dont les vulnérabilités de sécurité sont traitées dans les projets open source, mais aussi par l’industrie dans son ensemble.

C’est plus important que jamais maintenant car « les projets open source génèrent de nouvelles vulnérabilités à un rythme historiquement rapide ».

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *