82 % des composants des logiciels libres sont fondamentalement risqus, d’aprs un nouveau rapport de la socit Lineaje

Les rcentes attaques contre la chane d’approvisionnement (SolarWinds, Log4j et 3CX) ont mis en vidence la ncessit de protger la chane d’approvisionnement des logiciels ainsi que les consquences potentielles d’une mauvaise valuation de l’intgrit des logiciels. Un nouveau rapport de la socit Lineaje, spcialise dans la gestion de la scurit de la chane d’approvisionnement des logiciels, examine la composition des logiciels libres et value les risques associs leur utilisation.

Ce rapport rvle que 82 % des composants logiciels libres sont intrinsquement risqus, avec des risques importants dus des vulnrabilits, des problmes de scurit, des problmes de qualit du code ou de maintenabilit. Ces risques ne sont toutefois pas rpartis de manire uniforme, ce qui souligne l’importance d’valuer en permanence les dpendances des logiciels libres, tant donn que les risques voluent d’une version l’autre. La popularit d’un logiciel n’est pas non plus lie au risque qu’il prsente : choisir des dpendances en fonction de leur popularit n’est donc pas une mthode d’attnuation des risques.

Les dpendances visibles et directes ne reprsentent que 10 % de toutes les dpendances qu’un composant open-source attire, tandis que 90 % sont transitives. En outre, 68 % des dpendances dans les logiciels libres proviennent d’autres projets libres, qui leur tour attirent d’autres projets libres.

L’tude analyse galement la provenance de chaque composant et constate que si environ 68 % des composants sont entirement attestables, le reste ne l’est pas. La capacit dtecter la falsification de la chane d’approvisionnement en logiciels est directement lie l’attestabilit de l’intgrit. En fait, les attaques 3CX rcemment signales, qui dcoulent de la compromission d’une bibliothque code source ouvert, auraient t dtectes par un contrle approfondi de l’intgrit.

Si la majorit des logiciels valus avaient des composants connus, 3 % prsentaient des composants inconnus et 5,3 % avaient t crits par un auteur non divulgu. L’tude rvle galement que 90 % des logiciels ont rvl des vulnrabilits qui ne peuvent tre corriges par les dveloppeurs et qui incluent une dpendance l’gard d’une source ouverte. Ils ne peuvent tre corrigs que par les dveloppeurs des projets dpendants.

Il est impratif que les organisations comprennent aujourd’hui que tous les logiciels code source ouvert ne sont pas vrifis et inviolables, mme s’ils sont accessibles via le rfrentiel le plus accrdit et le plus reconnu. Comme nous l’avons constat maintes reprises, le logiciel libre reste un point d’entre frquent pour les adversaires. Avec plus de logiciels assembls que construits, il est plus important que jamais de disposer d’outils et de processus formels pour comprendre l’ADN des logiciels. Les dveloppeurs n’ont pas de vision rayons X pour voir l’intrieur d’un composant logiciel qu’ils incluent et la plupart de ceux qui slectionnent les dpendances open-source ne sont pas des experts en scurit. En tant qu’industrie, nous avons l’obligation d’valuer la qualit et la scurit de ces composants logiciels qui sont construits gauche de la gauche , dclare Javed Hasan, PDG et cofondateur de Lineaje.

L’analyse de 44 projets, comprenant 41 989 composants et 26 millions de lignes de code, de l’Apache Software Foundation (ASF) et de ses composants open-source dpendants directs et transitoires, rvle que 16 489 vulnrabilits critiques n’ont pas t corriges et que plus de 40 % de l’ensemble des composants sont considrs comme risque critique . En cho l’analyse plus gnrale des logiciels libres, 90 % des logiciels Apache prsentent des problmes qui ne peuvent tre corrigs par les membres de l’ASF et les personnes charges de la mise en place des correctifs.

Source : Lineaje

Et vous ?

Trouvez-vous ce rapport pertinent ? Quel est votre avis sur le sujet ?