Dev
Trop de codes open source restent non patchés dans les entreprises
Par Laurent Delattre, publié le 09 juillet 2019
Les entreprises tardent beaucoup trop à corriger les codes en open source qu’elles utilisent. Une mauvaise pratique qui devient critique en termes de cybersécurité.
Le nouveau rapport « Open Source Security & Risk Analysis 2019 » (OSSRA) de Synopsys offre une vision assez exhaustive de la sécurité des composants open source utilisés par les entreprises et une analyse des risques associés à leur utilisation. Par la même occasion, il offre également un certain regard sur l’adoption croissante des briques open source au sein des entreprises notamment en matière de développement applicatif métier.
Loin des faux débats autour de « l’open source est plus sécurisé que le propriétaire parce que davantage de développeurs consultent les codes sources » ou « l’open source est un risque parce que les cybercriminels ont accès aux codes sources pour élaborer plus facilement leurs attaques », le rapport s’appuie sur un audit détaillé de 1200 codes d’entreprise. Il rappelle que l’utilisation de codes open source n’est ni plus ni moins sûre que celle de codes propriétaires mais que, dans tous les cas, les codes ont des vulnérabilités qui imposent de les mettre à jour régulièrement. Encore faut-il, bien sûr, être en mesure de savoir quels sont les composants qui sont utilisés et ont besoin d’être patchés…
Les applications non patchées constituent l’un des plus grands risques en matière de cybersécurité des entreprises. Le rapport note un net accroissement de l’utilisation de bibliothèques et codes open source au sein des applications métiers : en 2018, 96% des codes d’entreprise audités embarquaient des technologies open source.
Les enquêteurs constatent que 60% des codes audités contiennent au moins une vulnérabilité open source. Un progrès significatif puisqu’en 2017, 78% des codes analysés embarquaient de telles failles. Malheureusement, 43% des codes analysés contenaient des vulnérabilités âgées de plus de 10 ans ! Et la moyenne d’âge des vulnérabilités open source rencontrées est de 6,6 années ! Autrement dit, si d’une manière générale les communautés open source se révèlent extrêmement réactives dans la correction des vulnérabilités détectées, les entreprises qui s’appuient sur leurs technologies sont bien trop lentes à intégrer les correctifs. D’ailleurs, 85% des codes audités en 2018 contenaient des composants « périmés » depuis plus de 4 ans ou n’ayant eu aucune évolution de codes depuis au moins deux ans.
Par ailleurs, le rapport soulève un autre problème : toutes les solutions et bibliothèques dites « open source » n’ont pas une licence ultra permissive comme celle du MIT et imposent certaines pratiques ou usages non respectés par les entreprises. Ainsi 32% des codes audités contenaient des composants avec des licences spéciales susceptibles d’entrer en conflit avec d’autres licences ou de nécessiter une analyse par un département juridique.
Source :
https://www.synopsys.com/blogs/software-security/2019-ossra-infographic/