L’état de la sécurité Open Source met en lumière de nombreuses organisations manquant de stratégies pour traiter les vulnérabilités des applications résultant de la réutilisation du code
BOSTON — 21 juin 2022 — Snykle leader de la sécurité des développeurs, et La Fondation Linuxune organisation mondiale à but non lucratif favorisant l’innovation via l’open source, a annoncé aujourd’hui les résultats de son premier rapport de recherche conjoint, L’état de la sécurité open source.
Les résultats détaillent les risques de sécurité importants résultant de l’utilisation généralisée de logiciels open source dans le développement d’applications modernes, ainsi que le nombre d’organisations actuellement mal préparées pour gérer efficacement ces risques. Plus précisément, le rapport a révélé:
Plus de quatre organisations sur dix (41 %) n’ont pas une grande confiance dans la sécurité de leurs logiciels open source ;
Le projet de développement d’application moyen a 49 vulnérabilités et 80 dépendances directes (code open source appelé par un projet) ; et,
Le temps nécessaire pour corriger les vulnérabilités dans les projets open source a régulièrement augmenté, passant de 49 jours en 2018 à 110 jours en 2021.
« Les développeurs de logiciels ont aujourd’hui leurs propres chaînes d’approvisionnement – au lieu d’assembler des pièces automobiles, ils assemblent du code en associant des composants open source existants avec leur code unique. Bien que cela entraîne une augmentation de la productivité et de l’innovation, cela a également créé des problèmes de sécurité importants », a déclaré Matt Jarvis, directeur, relations avec les développeurs, Snyk. « Ce rapport, le premier du genre, a trouvé de nombreuses preuves suggérant la naïveté de l’industrie quant à l’état de la sécurité open source aujourd’hui. En collaboration avec la Linux Foundation, nous prévoyons de tirer parti de ces découvertes pour éduquer et équiper davantage les développeurs du monde entier, leur permettant de continuer à développer rapidement, tout en restant en sécurité.
« Alors que les logiciels open source rendent sans aucun doute les développeurs plus efficaces et accélèrent l’innovation, la façon dont les applications modernes sont assemblées les rend également plus difficiles à sécuriser », a déclaré Brian Behlendorfdirecteur général, Open Source Security Foundation (OpenSSF). « Cette recherche montre clairement que le risque est réel et que l’industrie doit travailler encore plus étroitement afin de s’éloigner des mauvaises pratiques de sécurité de l’open source ou de la chaîne d’approvisionnement des logiciels. » (Vous pouvez lire le billet de blog d’OpenSSF sur le rapport ici)
Snyk et The Linux Foundation discuteront des conclusions complètes du rapport ainsi que des actions recommandées pour améliorer la sécurité du développement de logiciels open source lors d’un certain nombre d’événements à venir :
Session à l’Open Source Summit North America à Austin, TX, intitulée « Relever les défis de la cybersécurité dans les logiciels open source« , se déroulant le mardi 21 juin à 12h heure locale (CT).
Webinaire qui aura lieu le mardi 28 juin à 13 h HE, pour vous inscrire, visitez ici.
Webinaire qui aura lieu le mercredi 29 juin à 9 h HE, pour vous inscrire, visitez ici.
41 % des organisations n’ont pas une grande confiance dans la sécurité des logiciels open source
Les équipes de développement d’applications modernes tirent parti du code de toutes sortes d’endroits. Ils réutilisent le code d’autres applications qu’ils ont créées et recherchent des référentiels de code pour trouver des composants open source qui fournissent les fonctionnalités dont ils ont besoin. L’utilisation de l’open source nécessite une nouvelle façon de penser la sécurité des développeurs que de nombreuses organisations n’ont pas encore adoptée.
Envisagez davantage :
Moins de la moitié (49 %) des organisations ont une politique de sécurité pour le développement ou l’utilisation d’OSS (et ce nombre n’est que de 27 % pour les moyennes et grandes entreprises) ; et,
Trois organisations sur dix (30 %) sans politique de sécurité open source reconnaissent ouvertement que personne dans leur équipe ne s’occupe actuellement directement de la sécurité open source.
Projet de développement d’application moyen : 49 vulnérabilités couvrant 80 dépendances directes
Lorsque les développeurs incorporent un composant open source dans leurs applications, ils deviennent immédiatement dépendants de ce composant et courent des risques si ce composant contient des vulnérabilités. Le rapport montre à quel point ce risque est réel, avec des dizaines de vulnérabilités découvertes dans de nombreuses dépendances directes dans chaque application évaluée.
Ce risque est également aggravé par les dépendances indirectes, ou transitives, qui sont les dépendances de vos dépendances. De nombreux développeurs ne connaissent même pas ces dépendances, ce qui les rend encore plus difficiles à suivre et à sécuriser.
Cela dit, dans une certaine mesure, les personnes interrogées sont conscientes des complexités de sécurité créées par l’open source dans la chaîne d’approvisionnement des logiciels aujourd’hui :
Plus d’un quart des personnes interrogées ont indiqué qu’elles étaient préoccupées par l’impact sur la sécurité de leurs dépendances directes ;
Seuls 18 % des répondants ont déclaré avoir confiance dans les contrôles qu’ils ont mis en place pour leurs dépendances transitives ; et,
Quarante pour cent de toutes les vulnérabilités ont été trouvées dans les dépendances transitives.
Temps de réparation : plus que doublé, passant de 49 jours en 2018 à 110 jours en 2021
Alors que le développement d’applications est devenu de plus en plus complexe, les défis de sécurité auxquels sont confrontées les équipes de développement sont également devenus de plus en plus complexes. Bien que cela rende le développement plus efficace, l’utilisation de logiciels open source ajoute à la charge de remédiation. Le rapport a révélé que la correction des vulnérabilités dans les projets open source prend près de 20 % plus de temps (18,75 %) que dans les projets propriétaires.
À propos du rapport
L’état de la sécurité Open Source est un partenariat entre Snyk et The Linux Foundation, avec le soutien d’OpenSSF, de la Cloud Native Security Foundation, de la Continuous Delivery Foundation et de la Eclipse Foundation. Le rapport est basé sur une enquête auprès de plus de 550 répondants au premier trimestre 2022 ainsi que sur des données de Snyk Open Sourcequi a analysé plus de 1,3 milliard de projets open source.
À propos de Snyk
Snyk est le leader de la sécurité des développeurs. Nous permettons aux développeurs du monde entier de créer des applications sécurisées et d’équiper les équipes de sécurité pour répondre aux exigences du monde numérique. Notre approche axée sur le développeur garantit que les organisations peuvent sécuriser tous les composants critiques de leurs applications, du code au cloud, ce qui entraîne une augmentation de la productivité des développeurs, une croissance des revenus, la satisfaction des clients, des économies de coûts et une amélioration globale de la sécurité. La plate-forme de sécurité pour développeurs de Snyk s’intègre automatiquement au flux de travail d’un développeur et est spécialement conçue pour que les équipes de sécurité collaborent avec leurs équipes de développement. Snyk est aujourd’hui utilisé par plus de 1 500 clients dans le monde, y compris des leaders du secteur tels qu’Asurion, Google, Intuit, MongoDB, New Relic, Revolut et Salesforce.
À propos de la Fondation Linux
La Fondation Linux est l’organisation de choix des meilleurs développeurs et entreprises du monde pour construire des écosystèmes qui accélèrent le développement de technologies ouvertes et l’adoption commerciale. En collaboration avec la communauté open source mondiale, il résout les problèmes technologiques les plus difficiles en créant le plus grand investissement technologique partagé de l’histoire. Fondée en 2000, la Linux Foundation fournit aujourd’hui des outils, des formations et des événements pour faire évoluer tout projet open source, qui, ensemble, ont un impact économique impossible à atteindre par une seule entreprise. Plus d’informations peuvent être trouvées sur www.linuxfoundation.org.