41 % des entreprises n’ont pas une grande confiance dans la scurit de leurs logiciels open source Leur utilisation gnralise entranant des risques importants

Selon un nouveau rapport de la socit de scurit des dveloppeurs Snyk et de la Fondation Linux, Le projet moyen de dveloppement d’applications comporte 49 vulnrabilits et 80 dpendances directes (code open source appel par un projet).

De plus, le temps ncessaire pour corriger les vulnrabilits des projets open source n’a cess d’augmenter, faisant plus que doubler, passant de 49 jours en 2018 110 jours en 2021.

« Les dveloppeurs de logiciels ont aujourd’hui leurs propres chanes d’approvisionnement — au lieu d’assembler des pices de voiture, ils assemblent du code en patchant ensemble des composants open source existants avec leur code unique. Si cette situation entrane une augmentation de la productivit et de l’innovation, elle a galement cr des problmes de scurit importants« , explique Matt Jarvis, directeur des relations avec les dveloppeurs chez Snyk. « Ce rapport, le premier du genre, a trouv de nombreuses preuves suggrant une navet de l’industrie quant l’tat actuel de la scurit des logiciels libres. En collaboration avec la Fondation Linux, nous prvoyons d’exploiter ces rsultats pour duquer et quiper davantage les dveloppeurs du monde entier, leur permettant ainsi de continuer construire rapidement, tout en restant en scurit. »

Parmi les autres rsultats, seuls 49 % des organisations disposent d’une politique de scurit pour le dveloppement ou l’utilisation des logiciels libres (et ce chiffre n’est que de 27 % pour les moyennes et grandes entreprises). Tandis que 30 % des organisations sans politique de scurit des logiciels libres reconnaissent ouvertement que personne dans leur quipe ne s’occupe directement de la scurit des logiciels libres.

La complexit de la chane d’approvisionnement est galement un problme, plus d’un quart des rpondants l’enqute indiquent qu’ils sont proccups par l’impact sur la scurit de leurs dpendances directes. Seuls 18 % se disent confiants dans les contrles qu’ils ont mis en place pour ces dpendances et 40 % de toutes les vulnrabilits ont t dcouvertes dans des dpendances transitives.

Source : Snyk

Et vous ?

Trouvez-vous ce rapport pertinent ?

Qu’en est-il au sein de votre entreprise ?

Voir aussi :

La Maison Blanche, la Fondation Linux, OpenSSF et 37 entreprises technologiques ont annonc un plan de scurit des logiciels Open Source en 10 points, et un financement de 150 millions de dollars

Les vulnrabilits Open Source constituent des menaces pour la scurit : 85 % des bases de code utilisent des composants dpasss, et 88 % des composants qui ne sont pas de la dernire version

Les dveloppeurs Open source consacreraient moins de 3 % de leur temps la scurit, selon une nouvelle enqute de l’Open Source Security Foundation (OpenSSF) et du Laboratory for Innovation Science