Au moins une vulnérabilité de source ouverte trouvée dans 84% des bases de code
Dans le contexte actuel où la quasi-totalité des logiciels utilisent un code source ouvert, au moins une vulnérabilité connue a été détectée dans 84 % d'entre eux. Les chercheurs de la société Synopsys, spécialisée dans la sécurité des applications, ont enquêté et trouvé des vulnérabilités dans toutes les bases de code commerciales et propriétaires.
En outre, les chercheurs de Synopsys ont également découvert que des vulnérabilités à haut risque étaient présentes dans 48 % des bases de code qu'ils ont analysées. Ces vulnérabilités ont été exploitées activement, ont déjà fait l'objet d'une preuve de concept ou sont classées comme des vulnérabilités d'exécution de code à distance.
Le rapport Open Source Security and Risk Analysis (OSSRA) 2023 de Synopsys comprend des données sur la conformité aux licences open-source et des informations sur les vulnérabilités. En outre, l'équipe des services d'audit de Synopsys a réalisé les audits des bases de code incluses dans les transactions de fusion et d'acquisition. Le rapport présente les tendances de l'utilisation des logiciels libres dans 17 secteurs d'activité différents.
Au total, 1 481 bases de code ont été analysées pour déterminer les vulnérabilités et la conformité aux licences de logiciels libres, tandis que 222 bases de code supplémentaires ont été examinées uniquement pour vérifier la conformité.
Les vulnérabilités des logiciels libres augmentent
Le rapport de l'OSSRA montre que le nombre de vulnérabilités connues dans les logiciels libres a augmenté de 4 % par rapport à l'année précédente. Toutes les bases de code examinées dans l'étude ont été obtenues auprès d'entreprises des secteurs de l'aérospatiale, de l'aviation, de l'automobile, du transport et de la logistique. Dans l'ensemble, on constate que 73 % du code total comprend du code open-source.
Le rapport de l'OSSRA indique également que le pourcentage de code open-source a augmenté dans les bases de code de tous les secteurs verticaux au cours des cinq dernières années. Entre 2018 et 2022, la proportion de code open-source dans les bases de code examinées a augmenté de 163 % dans le secteur des technologies de l'éducation.
Dans les secteurs de l'aérospatiale, de l'aviation, de l'automobile, du transport et de la logistique, il a augmenté de 97 %. Dans les secteurs de l'industrie manufacturière et de la logistique, le pourcentage a augmenté de 163 %.
Selon le rapport, les vulnérabilités à haut risque ont augmenté dans tous les secteurs d'activité. Les entreprises des secteurs de l'aérospatiale, de l'aviation, de l'automobile, du transport et de la logistique ont connu une augmentation de 232 % des vulnérabilités à haut risque en 5 ans. Les vulnérabilités à haut risque dans les bases de code liées à l'IoT ont augmenté de 130 % depuis 2018.
Plusieurs vulnérabilités à haut risque ont été détectées dans 63 % de tous les codes ayant un score de gravité CVSS de 7 ou plus. Dans le secteur de l'énergie et des technologies propres, 78 % du code total était open source, et 69 % d'entre eux présentaient des vulnérabilités à haut risque.
Patchs disponibles mais non appliqués
Sur les 1 481 bases de code analysées par les chercheurs, 91 % comportaient des versions obsolètes de composants open-source. Cela indique qu'une mise à jour ou un correctif était disponible mais n'avait pas été appliqué.
L'une des explications possibles est que les équipes DevSecOps peuvent considérer que le risque de conséquences involontaires est plus important que les avantages potentiels de l'application de la version la plus récente. En outre, les chercheurs suggèrent que le temps et les ressources pourraient également être des facteurs contributifs.
Le rapport souligne que les équipes de devsecops peuvent ne pas être au courant des nouvelles versions des composants open-source disponibles. Dans certains cas, elles ne connaissent même pas l'existence de ces composants.
Nomenclature des logiciels (SBOM)
Selon le rapport, l'utilisation d'une nomenclature logicielle (SBOM) peut aider les organisations à prévenir les exploits de vulnérabilité et à maintenir un code open-source à jour.
Un SBOM complet regroupe tous les composants open-source utilisés dans les applications, ainsi que des informations sur les licences, les versions et les statuts des correctifs. En créant un SBOM des composants open-source, les organisations peuvent rapidement identifier les composants à haut risque et prioriser les remédiations nécessaires de manière efficace.
Ces statistiques sur les vulnérabilités des logiciels libres sont préoccupantes, car elles indiquent qu'un grand nombre d'organisations négligent des mesures cruciales pour protéger leur code, ce qui peut les exposer à des menaces potentielles pour la sécurité. En utilisant des outils appropriés et en établissant des processus efficaces, les organisations peuvent protéger leur code et se prémunir contre d'éventuelles failles de sécurité.
Les sources de cet article comprennent un article du CSO.