Les vulnérabilités en open source passent parfois inaperçues pendant plus de 4 ans

Les vulnérabilités de sécurité des logiciels open source ne sont parfois pas détectées depuis plus de quatre ans. C'est l'une des principales conclusions du dernier rapport sur l'état de l'Octoverse de la plateforme d'hébergement et de gestion de développement logiciel GitHub.

Cependant cette affirmation n'est pas entièrement vraie, comme basé sur le progrès technologique et le fait que ces dernières années de nombreuses grandes entreprises et développeurs ont rejoint les logiciels open source, cela a permis une avance de plus en plus accélérée en termes de développement, de création d'outils de test et surtout de détection de vulnérabilité.

Bien que ce soit toujours une réalité, un financement insuffisant (entraînant une réduction des ressources humaines) est la plupart du temps un obstacle à la recherche et la découverte de ces vulnérabilités.

Heartbleed, par exemple, est une vulnérabilité des logiciels présents dans la crypto-bibliothèque OpenSSL depuis mars 2012. Permet à un attaquant de lire la mémoire d'un serveur ou d'un client à récupérer utilisée lors d'une communication avec le protocole TLS (Transport Layer Security Protocol). La faille qui affecte de nombreux services Internet n'a été découverte qu'en mars 2014 et a été rendue publique en avril 2014. Cela a laissé une fenêtre de deux ans aux pirates pour attaquer des milliers de serveurs.

La vulnérabilité aurait fini par erreur dans le référentiel OpenSSL suite à une proposition d'un développeur bénévole pour corriger les bugs et améliorer les fonctionnalités.

Les défauts de ce type (entré par erreur) représentent 83% de ceux découverts dans les projets open source hébergé sur GitHub. Cependant, le dernier rapport sur l'état de l'Octoverse déclare que 17% sont des vulnérabilités introduites intentionnellement par des tiers malveillants.

Ce sont des chiffres qui devraient être complétés par un récent rapport Risksense qui souligne que les failles des logiciels open source sont en constante augmentation. Les projets informatiques sont de plus en plus basés sur l'open source, ce qui explique l'intérêt croissant des hackers sur le terrain.

Une vulnérabilité peut faire des ravages sur votre travail et entraîner des problèmes de sécurité à grande échelle. Cependant, la plupart des vulnérabilités sont dues à des bogues et non à des attaques malveillantes.

En s'appuyant sur l'open source lorsque vous le pouvez, votre équipe bénéficie de tous les correctifs trouvés et corrigés par la communauté. Le temps de correction est un élément important pour toutes les équipes DevOps

Le modèle de financement de la sphère open source fait partie des facteurs les plus susceptibles d'expliquer pourquoi les vulnérabilités logicielles Ils passent inaperçus lors de moments aussi importants. La Central Infrastructure Initiative (CII) est l'un des rares projets à financer et soutenir des projets de logiciels libres et open source essentiels au fonctionnement d'Internet et d'autres grands systèmes d'information.

La plupart des projets sur GitHub sont basés sur des logiciels open source. Cette analyse comprenait des référentiels publics open source avec au moins une contribution par mois entre le 10.1.2019 et le 30.09.2020.

Ce dernier a fait l'objet d'une annonce suite à la vulnérabilité critique Heartbleed dans OpenSSL qui est utilisée par des millions de sites Web. Problème: CII s'appuie sur les contributions d'acteurs bien établis dans le monde des logiciels propriétaires. Facebook, VMWare, Microsoft, Comcast et Oracle (pour ne citer que ces entreprises) financent la Linux Foundation, et donc des projets comme la Central Infrastructure Initiative (CII).

Cela leur donne des sièges dans les différents conseils de décision et donc un certain contrôle sur ce qui se passe dans l'arène open source. Bryan Lunduke, ancien membre du conseil d'administration d'openSUSE, discute plus en détail de cet état de choses.

La conséquence immédiate est que projets open source bénéficiant d'un financement sont celles sur lesquelles reposent principalement leurs infrastructures.

Enfin, si vous souhaitez en savoir plus, vous pouvez consulter le site Web suivant où vous pouvez trouver les rapports collectés.

Le lien est le suivant.


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.