Prs d’un professionnel de l’industrie sur deux a rduit son utilisation de l’open source pour des craintes lies la scurit Log4j tant le principal moteur

41 % des entreprises n'ont pas une grande confiance dans la scurit de leurs logiciels open source Leur utilisation gnralise entranant des risques importants



Selon une enqute mene par la socit de science des donnes Anaconda, environ 40 % des professionnels de l’industrie affirment que leurs organisations ont rduit leur utilisation de logiciels open source en raison de problmes de scurit. L’dition 2022 du State of Data Science report de la socit a sollicit l’avis en avril et mai de 3 493 personnes de 133 pays et rgions, ciblant des universitaires, des professionnels de l’industrie et des tudiants. Environ 16 % des rpondants se sont identifis comme des scientifiques des donnes.

Environ 33 % des professionnels de l’industrie interrogs ont dclar qu’ils n’avaient pas rduit leur recours l’open source, 7 % ont dclar qu’ils avaient augment leur utilisation et 20 % ont dclar qu’ils n’taient pas srs. Les 40% restants ont dit qu’ils l’avaient fait.

Par professionnels de l’industrie, ou rpondants commerciaux comme le dit Anaconda, le biz signifie un mlange d’analystes commerciaux, de chefs de produit, de scientifiques et d’ingnieurs en donnes et en apprentissage automatique, d’informaticiens standard tels que les administrateurs systme et d’autres personnes dans le domaine de la technologie, des finances, conseils, sant, etc.

Et par rduction du recours l’open source, cela ne veut pas dire qu’il y a un arrt : 87 % des entreprises interroges ont dclar que leur organisation autorisait toujours l’utilisation de l’open source. Il semble cependant qu’un bon nombre d’entre eux cherchent rduire le risque de s’appuyer sur trop de dpendances open source.

Le rapport d’Anaconda a rvl que des incidents comme Log4j et des rapports de « protestware » ont incit les utilisateurs de logiciels open source prendre plus au srieux les problmes de scurit. Sur les 40 % qui ont rduit leur utilisation de l’open source, plus de la moiti l’ont fait aprs le fiasco de Log4j.

Quelque 31 % des personnes interroges ont dclar que les vulnrabilits de scurit reprsentent le plus grand dfi de la communaut open source aujourd’hui.

La plupart des organisations utilisent des logiciels open source, selon Anaconda. Mais parmi les 8 % de rpondants indiquant qu’ils ne le font pas, plus de la moiti (54 %, en hausse de 13 % depuis l’anne dernire) ont cit les risques de scurit comme raison.

Parmi les autres raisons de ne pas utiliser de logiciels open source, citons : le manque de comprhension (38 %) ; manque de confiance dans la gouvernance informatique de l’organisation (29 %) ; les logiciels open source sont considrs comme non scuriss, ils ne sont donc pas autoriss (28 %) ; et ne pas vouloir perturber les projets en cours (26 %).

L’enqute d’Anaconda a galement fait tat d’inquitudes concernant le manque de comptences techniques, 90 % des rpondants professionnels s’inquitant d’une pnurie de talents. Quelque 64 % ont dclar que leur plus grande proccupation tait de pouvoir recruter et retenir des talents et 56 % ont estim que le manque de talents en science des donnes reprsentait l’un des principaux obstacles aux efforts de science des donnes d’entreprise.

Python continue d’tre le langage prfr pour les types de science des donnes. Parmi les rpondants au sondage, 31 % ont dclar l’utiliser « toujours » et 27 % ont dclar l’utiliser « frquemment ». Julia, titre de comparaison, a obtenu 3% de « toujours » et 12% de « souvent ».

L’attention porte l’thique dans la science des donnes continue d’tre dcevante. L’enqute a rvl que 24 % des personnes interroges ont dclar que leurs organisations ne disposaient pas de normes, de politiques ou d’outils de mesure pour traiter l’quit et les prjugs algorithmiques. 15 % supplmentaires ne savent pas comment leurs organisations font face ces dfis.

Les institutions acadmiques s’en sortent encore moins bien dans l’enqute ce sujet. Parmi les rpondants de la filire universitaire, seulement 19 % ont dclar que leurs tablissements enseignent l’thique en science des donnes et en apprentissage automatique et 20 % ont dclar que l’thique est couverte dans les cours de leurs domaines respectifs.

Seulement 23 % des rpondants universitaires et 21 % des tudiants ont dclar que les prjugs en IA/ML/science des donnes sont enseigns rgulirement. Environ 39 % ont dclar qu’il tait rarement enseign et 36 % ont dclar qu’il n’tait jamais enseign, ce qui, selon Anaconda, reprsente une diminution d’au moins 9 % d’une anne sur l’autre par rapport l’enqute 2021 de l’entreprise.

Environ un tiers (32 %) des rpondants ont dclar que les effets sociaux des biais dans les donnes et les modles sont le plus gros problme de l’IA/ML/science des donnes aujourd’hui.

Il y a certainement de la place pour mettre davantage l’accent sur l’thique et les prjugs dans le domaine de l’ducation , indique l’enqute.

Quelques points cls

Alors que les logiciels open source ont t crs par et pour les dveloppeurs, ils font dsormais partie intgrante du dveloppement de logiciels commerciaux et constituent l’pine dorsale de l’innovation continue de l’entreprise. Parmi les personnes interroges, 20 % ont identifi la vitesse d’innovation et l’abordabilit de l’open source comme les avantages les plus apprcis de son utilisation.

Interrogs sur les plus grandes menaces l’innovation et au progrs au sein de la communaut open source, les rpondants se sont concentrs sur plusieurs domaines :

Les inquitudes autour de la scurit open source augmentent

La scurit open source continue d’tre une priorit, compte tenu des incidents qui ont troubl l’industrie au cours de l’anne dernire, notamment la violation de Log4j et la monte des logiciels de protestation. En consquence, 40 % des professionnels interrogs ont indiqu que leurs organisations avaient rduit leur utilisation de logiciels open source au cours de l’anne coule en raison de proccupations lies la scurit. De plus, 31 % des professionnels ont dclar que les vulnrabilits de scurit taient le plus grand dfi de la communaut open source aujourd’hui.

Alors que la plupart des organisations utilisent des logiciels open source, sur les 8 % des rpondants dont les organisations ne le font pas, 54 % ont dclar que la principale raison tait la peur des vulnrabilits, des expositions ou des risques potentiels. Il s’agit d’une augmentation de 13 % par rapport au rapport de 2021, raffirmant la sensibilisation accrue la scurit dans l’industrie en 2022.

Les pnuries de talents affligent les organisations

Les organisations qui tentent d’intensifier leurs efforts en matire de science des donnes et d’acclrer les progrs et l’adoption de la technologie ont d surmonter les effets des dfis de la pnurie de talents. 90 % des professionnels interrogs ont indiqu que leurs organisations taient proccupes par l’impact potentiel d’une pnurie de talents, 64 % d’entre eux dclarant qu’ils taient surtout proccups par la capacit de leur organisation recruter et retenir des talents techniques. 56 % estiment que le manque de talents ou d’effectifs dans le domaine de la science des donnes est l’un des principaux obstacles l’adoption russie de la science des donnes par les entreprises.

Avec les scientifiques des donnes continuellement cits comme l’une des meilleures carrires aux tats-Unis, le bassin de talents est sr de rattraper la demande , a dclar Jessica Reeves, vice-prsidente principale des oprations chez Anaconda. Les solutions qui se sont rvles efficaces pour aider combler cet cart comprennent la mise niveau des effectifs existants et la possibilit d’options de travail distance plus solides. Les organisations devraient renforcer les outils et les ressources disponibles pour l’apprentissage continu, et les tablissements universitaires devraient combler les lacunes en matire de comptences des tudiants et les transformer en atouts alors qu’ils se prparent entrer sur le march du travail .

L’thique, les prjugs et la rglementation ncessitent plus d’attention, en particulier dans l’ducation

Les dfis thiques de l’IA, du ML et de la collecte de donnes n’ont jamais t aussi prsents dans la conscience publique, mais des progrs sont encore ncessaires dans l’espace. 75 % des rpondants professionnels estiment que le gouvernement devrait jouer un rle plus important dans le renforcement de l’innovation technologique et de la fabrication, 70 % affirmant qu’ils soutiendraient davantage de financement pour les STIM (science, technologie, ingnierie et mathmatiques) et la scolarisation base sur la technologie. En revanche, seuls 19 % des tudiants interrogs apprennent actuellement l’thique dans les cours d’IA/ML/science des donnes, et 32 % des tudiants ont rarement ou jamais appris les prjugs dans les cours d’IA/ML/science des donnes. Ces rsultats soulignent la ncessit pour les tablissements d’enseignement d’ajuster les parcours d’apprentissage pour reflter et prparer ceux qui entrent sur le march du travail et faonnent l’avenir de la science des donnes.

C’est incroyable ce que la communaut a accompli au cours de la dernire dcennie seulement. De nombreuses entreprises n’existeraient pas sans les fondations open source sur lesquelles elles reposent aujourd’hui , a dclar Peter Wang, PDG et cofondateur d’Anaconda. Mais pour relever ces dfis avec succs et continuer innover dans la future entreprise, nous devons continuer rinvestir dans la communaut open source et son infrastructure. J’ai bon espoir quant aux priorits de l’industrie et la prochaine gnration de talents entrant sur le march du travail .

Log4J et les dpendances affectes

Log4j est une bibliothque de journalisation open source base sur Java utilise dans des millions d’applications. En dcembre 2021, une vulnrabilit dans Log4J a t dcouverte. Elle permet un attaquant de provoquer une excution de code arbitraire distance s’il a la capacit de soumettre une donne une application qui utilise la bibliothque log4j pour journaliser l’vnement. Cette attaque peut tre ralise sans tre authentifi, par exemple en tirant parti d’une page d’authentification qui journalise les erreurs d’authentification. Les entreprises spcialises en cyberscurit ont indiqu que le nombre d’attaques profitant de cette faille se sont multipli. Sans compter que d’autres vulnrabilits ont t dcouvertes tandis que les correctifs taient publis.

James Wetter et Nicky Ringland, membres de l’quipe Google Open Source Insights, ont dclar dans un rapport que, bien souvent, lorsqu’une faille de scurit Java majeure est dtecte, elle n’affecte gnralement que 2% de l’index Maven Central. Cependant, les 35 000 packages Java vulnrables Log4Shell reprsentent environ 8 % du total de Maven Central d’environ 440 000, un pourcentage que les deux ont dcrit en utilisant un seul mot : norme .

Plus de 35 000 packages Java, reprsentant plus de 8 % du rfrentiel Maven Central (le rfrentiel de packages Java le plus important), ont t touchs par les vulnrabilits log4j rcemment divulgues, avec des retombes gnralises dans l’industrie du logiciel. Les vulnrabilits permettent un attaquant d’excuter du code distance en exploitant la fonctionnalit de recherche JNDI non scurise expose par la bibliothque de journalisation log4j. Cette fonctionnalit exploitable tait active par dfaut dans de nombreuses versions de la bibliothque.

Cette vulnrabilit a captiv l’cosystme de la scurit de l’information depuis sa divulgation le 9 dcembre en raison la fois de sa gravit et de son impact gnralis. En tant qu’outil de journalisation populaire, log4j est utilis par des dizaines de milliers de progiciels (appels artefacts dans l’cosystme Java) et de projets dans l’ensemble de l’industrie du logiciel. Le manque de visibilit de l’utilisateur sur ses dpendances et ses dpendances transitives a rendu l’application des correctifs difficile ; cela a galement rendu difficile la dtermination du rayon d’explosion complet de cette vulnrabilit. En utilisant Open Source Insights, un projet pour aider comprendre les dpendances open source, nous avons examin toutes les versions de tous les artefacts dans le rfrentiel central Maven pour dterminer l’tendue du problme dans l’cosystme open source des langages bass sur JVM, et pour suivre les efforts en cours pour attnuer les paquets affects .

Source : Anaconda

Et vous ?

Comprenez-vous l’hsitation des entreprises concernant la faon dont elles embrassent l’open source suite l’impact potentiel des vulnrabilits dcouvertes qui peuvent les impacter ?

Partagez-vous l’aspect manque de talent voqu par le rapport pour expliquer l’une des difficults d’accder et de profiter de l’open source pour les entreprises ?

Que pensez-vous de l’open source en gnral ?

Que pensez-vous des conclusions de ce rapport ? Vous semblent-elles s’appliquer votre entreprise ?

Voir aussi :

Log4j : une entreprise du Fortune 500 exige des rponses rapides et gratuites du crateur de cURL, qui leur a indiqu qu’il le ferait ds que nous aurons sign un contrat de support

Plus de 35 000 packages Java impacts par les vulnrabilits Log4j, selon un rapport de l’quipe open source de Google

Une quatrime vulnrabilit dcouverte dans la bibliothque de journalisation Log4J, les utilisateurs sont convis passer la version 2.17.1



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.