Le rapport OSSRA 2023 constate toujours le même manque de rigueur dans la gestion des v

Secu

Un inquiétant manque de rigueur dans l’utilisation des codes open-source

Par Laurent Delattre, publié le 23 février 2023

La 8ème édition du rapport OSSRA (Open Source Security & Risk Analysis) de Synopsys ne montre aucune amélioration tangible quant aux bonnes pratiques des entreprises et leur gestion des vulnérabilités des codes et frameworks open source qu’elles utilisent… Et ça commence à être très inquiétant.

L’open source s’est largement imposé aujourd’hui dans les développements des entreprises. L’utilisation des librairies et frameworks du monde open source découlent d’une triple volonté d’être à la fois plus productif, plus interopérable et plus agile. Mais, contrairement aux arguments de certains, elle ne semble pas découler d’une volonté de proposer des applications plus sécurisées, alors même que l’univers a la réputation (et c’est souvent vrai en pratique) de se montrer très réactif dans la correction des vulnérabilités découvertes.

Chaque année depuis 8 ans, les services d’audit de Synopsys analysent les bases de codes sources de 1700 entreprises dans 17 secteurs à la recherche de vulnérabilités et identifiant les risques. Le rapport OSSRA qui en découle pointe du doigt les mauvaises pratiques.

Et l’édition OSSRA 2023 n’est malheureusement pas plus glorieuse que les précédentes mais elle est en revanche toujours aussi instructive.

Sur les 1703 bases de codes sources analysées en 2023, il apparait que 96% d’entre elles contenaient des codes open source. Au total, 76% des codes analysés au sein de ces bases étaient des codes open source. Oui, l’open source est prolifique et, oui, il est désormais largement employé par tous et par tous les développeurs.

Beaucoup d’open source, mal géré

Plus étonnant, le nombre moyen de composants open-source utilisés par les principales applications s’élève à 595 ! 595 composants open-source en moyenne pour une application d’envergure, ça fait forcément beaucoup de composants à surveiller et mettre à jour.

Mais cette quantité ne justifie pas le laxisme apparent qui ressort de cette enquête. Jugez plutôt :

* 87% des bases de codes sources étudiées contenaient des risques et vulnérabilités connues

* 89% des bases contenaient des codes sources ayant plus de 4 ans d’ancienneté

* 91% des bases contenaient des composants n’ayant reçu aucun développement depuis au moins deux ans

* 91% des bases de codes affichaient des composants open source qui n’étaient pas à jour de version

* 15% des bases de codes utilisaient plus de 10 versions différentes d’un même composant

* 84% des bases de codes sources contenaient au moins une vulnérabilité

* 48% des bases de codes sources comportaient au moins une vulnérabilité hautement critique

* Le nombre de vulnérabilités critiques détectées dans les codes sources a fait un saut de 557% depuis 2018 !

Oui, ces chiffres sont plutôt édifiants ! Ils le sont d’autant plus qu’ils ne montrent aucune amélioration significative depuis 5 ans !

Le rapport rappelle pourtant les évidentes corrélations existantes entre failles open-source et attaques sur la supply chain. Les deux risques sont intimement liés si l’on se réfère aux dernières attaques en date.

À LIRE AUSSI :


Certes, il montre aussi qu’il existe des disparités sur les bonnes pratiques entre les secteurs industriels, mais au final, quel que soit le secteur, la situation reste très inquiétante.

Parce que les services de Synopsys interviennent souvent dans les contextes de fusion-acquisition, le rapport met aussi en avant le manque de respect des licences open-source.
Ainsi, 54% des bases de codes présentaient des conflits de licences !
Et, 31% des bases contenant de l’open source n’intégraient pas les fichiers de licence normalement obligatoires !

Dit autrement, tout prouve que les leçons de Log4Shell n’ont pas été retenues. Et tout porte à croire que d’autres crises émergeront dans les prochaines années si davantage de rigueur n’est pas appliquée dans la gestion de l’utilisation et du cycle de vie des codes sources venus du monde open-source. Il est grand temps pour les DSI et RSSI de se pencher sérieusement sur le sujet…

À LIRE AUSSI :

Dans l'actualité

Verified by MonsterInsights