La consommation de logiciels libres n’ayant jamais t aussi importante, les attaques visant la chane d’approvisionnement en logiciels ont galement augment, tant en frquence qu’en complexit. Un nouveau rapport rvle une augmentation de 633 % d’une anne sur l’autre des attaques malveillantes visant l’open source dans les rfrentiels publics — ce qui quivaut une augmentation annuelle moyenne de 742 % des attaques de la chane d’approvisionnement logicielle depuis 2019.
Le dernier rapport State of the Software Supply Chain Report de Sonatype, publi aujourd’hui au DevOps Enterprise Summit, rvle galement que 96 % des tlchargements de Java open source prsentant des vulnrabilits connues auraient pu tre vits parce qu’une meilleure version tait disponible, mais qu’ils ont t ignors.
« Ce rsultat tonnant souligne quel point il est essentiel pour les quipes d’ingnieurs de continuer se former aux risques lis aux logiciels libres et d’adopter une automatisation intelligente pour soutenir leurs efforts. Les humains sont faillibles, et la mare crasante de renseignements sur les dpendances que les dveloppeurs doivent interprter dans leur processus de dveloppement quotidien va l’encontre de la priorit accorde la bonne qualit des logiciels « , dclare Brian Fox, cofondateur et directeur technique de Sonatype. » La bonne nouvelle, c’est que le rapport de cette anne montre galement qu’une gestion « optimale » des dpendances est possible. En outre, malgr l’attention constante porte la tentative de » rparer l’open source « , les donnes montrent que les consommateurs d’open source peuvent apporter des changements immdiats qui auront un impact profond sur leur capacit remdier et rpondre au prochain vnement. «
Le rapport montre galement un cart entre la scurit perue et la ralit dans le dveloppement de logiciels. 68 % des personnes interroges sont convaincues que leurs applications n’utilisent pas de bibliothques vulnrables connues, mais dans un chantillon alatoire d’applications d’entreprise, 68 % contenaient des vulnrabilits connues.
L’enqute rvle un biais permanent, les responsables faisant tat de niveaux de maturit plus levs que les autres. Cela n’est peut-tre pas surprenant, car l’application Java moyenne contient 148 dpendances (20 de plus que l’anne dernire), et le projet Java moyen est mis jour 10 fois par an – ce qui signifie que les dveloppeurs sont chargs de suivre les informations sur prs de 1 500 changements de dpendances par an, par application sur laquelle ils travaillent.
« Le rapport de cette anne sur l’tat de la chane logistique logicielle montre quel point l’open source et le dveloppement logiciel sont en constante volution, et qu’il est impratif d’voluer avec eux« , ajoute M. Fox. « Nos recherches montrent que le nombre de dpendances par projet open source est en augmentation, et que ces dpendances sont un facteur critique de risque. Les organisations immatures attendent de leurs dveloppeurs qu’ils restent au fait des questions de conformit aux licences, des multiples versions de projets, des changements de dpendances et de la connaissance de l’cosystme open source, en plus de leurs responsabilits professionnelles habituelles. Cela s’ajoute des pressions externes comme la rapidit. Il n’est pas surprenant que la satisfaction professionnelle soit fortement lie la maturit des pratiques de la chane logistique logicielle. Cette ralit qui donne rflchir dmontre le besoin immdiat pour les organisations de donner la priorit la gestion de l’offre logicielle afin de mieux grer les risques de scurit, d’augmenter l’efficacit des dveloppeurs et de permettre une innovation plus rapide. »
Source : Sonatype
Et vous ?
Que pensez-vous de ce rapport ? le trouvez-vous pertinent ?
Voir aussi :