L'utilisation généralisée de logiciels open source (OSS) dans le développement d'applications modernes pose un "risque de sécurité important", selon une nouvelle étude.

Selon un nouveau rapport de la société de cybersécurité Snyk, en collaboration avec la Fondation Linux (ouvre dans un nouvel onglet), les organisations d'aujourd'hui sont mal préparées à ces risques.

Basé sur une enquête auprès de plus de 550 répondants, ainsi que sur des données tirées de 1300 milliard de projets open source via Snyk Open Source, le rapport révèle que deux entreprises sur cinq (41%) ne font pas confiance à la sécurité de leur code open source.

Vulnérabilités dans le code open source

Le projet de développement d'application moyen présente 49 vulnérabilités, ainsi que 80 dépendances directes. Il faut désormais généralement 110 jours pour corriger une vulnérabilité dans un projet open source, contre 49 jours il y a quatre ans.

« Les développeurs de logiciels d'aujourd'hui ont leurs propres chaînes d'approvisionnement : au lieu d'assembler des pièces automobiles, ils assemblent du code en combinant des composants open source existants avec leur code unique. Bien que cela entraîne une augmentation de la productivité et de l'innovation, cela crée également des problèmes de sécurité importants », a déclaré Matt Jarvis. , directeur des relations avec les développeurs, Snyk.

Jarvis a ajouté qu'il y a une certaine "naïveté" dans l'approche de l'industrie des logiciels open source, ce qui pourrait ouvrir la porte à toutes sortes de logiciels malveillants, de rançongiciels et d'autres attaques.

Par exemple, moins de la moitié (49 %) ont une politique de sécurité pour développer ou utiliser des logiciels libres, et ce pourcentage tombe à 27 % parmi les moyennes et grandes entreprises. De plus, moins d'un tiers (30 %) des organisations sans politique de sécurité open source savent que personne ne s'occupe actuellement de la sécurité des logiciels open source.

Mais certains répondants sont conscients des défis de sécurité posés par les logiciels open source dans la chaîne d'approvisionnement. Un quart se disent préoccupés par l'impact sur la sécurité de leurs dépendances OSS, et seulement 18 % se disent confiants dans les contrôles qu'ils ont mis en place pour leurs dépendances transitives, où 40 % de toutes les vulnérabilités ont été trouvées.

Share