Récemment, la publication de un nouveau rapport de la société de sécurité des développeurs Snyk et de la Fondation Linux, à propos de leurs recherches conjointes sur l'état de la sécurité des logiciels open source.
Dans votre message détail que les résultats ne sont pas encourageants pour les entreprises, pour il existe une grande variété de risques de sécurité importants résultant de l'utilisation généralisée de logiciels open source dans le développement d'applications modernes, ainsi que du nombre d'organisations actuellement mal préparées pour gérer efficacement ces risques.
Plus précisément, le rapport a révélé:
Plus de quatre organisations sur dix (41 %) ne sont pas très confiantes dans la sécurité de leurs logiciels open source ;
Le projet de développement d'application moyen a 49 vulnérabilités et 80 dépendances directes (code open source appelé par un projet) ; Oui,
Le temps nécessaire pour corriger les vulnérabilités dans les projets open source n'a cessé d'augmenter, passant de 49 jours en 2018 à 110 jours en 2021.
Il est mentionné que généralement un projet développement d'applications a en moyenne 49 vulnérabilités et 80 dépendances directes. De plus, le temps nécessaire pour corriger les vulnérabilités dans les projets open source a régulièrement augmenté, passant de 49 jours en 2018 à 110 jours en 2021.
» Les développeurs de logiciels d'aujourd'hui ont leurs propres chaînes d'approvisionnement : au lieu d'assembler des pièces automobiles, ils assemblent du code en joignant des composants open source existants avec leur code unique. Si cela conduit à une productivité et à une innovation accrues », explique Matt Jarvis, directeur des relations avec les développeurs chez Snyk. En collaboration avec la Fondation Linux, nous prévoyons de nous appuyer sur ces découvertes pour éduquer et équiper davantage les développeurs du monde entier, leur permettant de continuer à construire rapidement, tout en restant en sécurité. »
Entre autres résultats, seulement 49% des organisations ont une politique de sécurité pour le développement ou l'utilisation de logiciels libres (et ce chiffre n'est que de 27% pour les moyennes et grandes entreprises). Alors que 30 % des organisations sans politique de sécurité des logiciels libres reconnaissent ouvertement que personne dans leur équipe ne s'occupe directement de la sécurité des logiciels libres.
La complexité de la chaîne d'approvisionnement est également un problème, avec plus d'un quart des répondants indiquant qu'ils sont préoccupés par l'impact sur la sécurité de leurs dépendances directes. Seuls 18 % déclarent avoir confiance dans les contrôles qu'ils utilisent.
Jusqu'à ce point, Il est important de souligner deux situations, la première d'entre eux est au moment où les développeurs ajoutent un composant open source dans vos applications, vous êtes immédiatement devenir dépendant de ce composant et sont à risque si ce composant contient des vulnérabilités.
L'autre et qui s'est vu fréquemment ces dernières années est que ce risque est également aggravé par des dépendances indirectes ou transitives, qui sont les dépendances des "autres dépendances", ici beaucoup de développeurs ne connaissent même pas ces dépendances, ce qui rend encore plus difficile à suivre et à protéger.
Avec cela, nous pouvons comprendre un peu que le rapport montre à quel point ce risque est réel, avec des dizaines de vulnérabilités découvertes dans de nombreuses dépendances directes dans chaque application évaluée. Cela dit, dans une certaine mesure, les personnes interrogées sont conscientes des complexités de sécurité créées par l'open source dans la chaîne d'approvisionnement logicielle actuelle :
Plus d'un quart des répondants ont déclaré être préoccupés par l'impact de leurs dépendances directes sur la sécurité ; seuls 18 % des répondants ont déclaré faire confiance aux contrôles dont ils disposent pour leurs dépendances transitives ; et, Quarante pour cent de toutes les vulnérabilités ont été trouvées dans les dépendances transitives.
Il est également important de mentionner que si ces entreprises ou développeurs ne sont pas "sûrs" avec les logiciels qu'ils utilisent, beaucoup d'entre nous penseront à la chose la plus logique, pour qu'ils "payent" ou "soutiennent le développement, soit en allouant des ressources ou développeurs", mais c'est ici qu'intervient l'un des grands débats sur les logiciels open source, à savoir si l'open source doit être "payé".
À ce titre, il existe de nombreux exemples de logiciels open source qui gèrent deux versions, qui sont payantes et gratuites, et même uniquement payantes, mais le code source est disponible.
D'autre part, il y a aussi eu des mouvements de développeurs et de grandes entreprises, dans lesquels ils décident de changer de modèle de distribution ou de passer à un modèle de paiement, par exemple QT.
Sans plus, pour ceux qui veulent en savoir plus sur la note, vous pouvez consulter les détails dans le lien suivant.