Open source, des bibliothèques peu mises à jour

Près de 80 % du temps, les bibliothèques tierces ne sont jamais mises à jour par les développeurs après avoir été incluses dans une base de code.

C’est un problème récurrent : les développeurs en entreprise font de plus en plus souvent appel à des bibliothèques open source pour créer les applications des entreprises. Mais ils ne font presque jamais l’effort de les actualiser pour intégrer leurs patchs de sécurité. Un risque sous-estimé.  Qui plus est, les entreprises n’ont souvent aucun outil de visibilité sur les bibliothèques qu’elles utilisent…

Les bibliothèques open source évoluent constamment, de sorte que ce qui semble sécurisé aujourd’hui peut ne plus l’être demain. De là, un risque de sécurité important pour les fournisseurs de logiciels et les utilisateurs.

Le Veracode State of Software Security (SoSS) v11: Open Source Edition a analysé 13 millions d’analyses de plus de 86 000 référentiels contenant plus de 301 000 bibliothèques uniques. Veracode a également interrogé près de 2 000 développeurs pour comprendre comment ils utilisent les logiciels tiers.

La sécurité d’une bibliothèque peut changer rapidement

L’étude de Veracode révèle également des fluctuations notables de la popularité et de la vulnérabilité des bibliothèques d’une année à l’autre. Par exemple, quatre des cinq bibliothèques les plus populaires de Ruby en 2019 ne figuraient plus dans le top 10 en 2020. En même temps, certaines des bibliothèques les plus vulnérables de Go en 2019 sont devenues moins vulnérables en 2020 et vice versa. Étant donné que presque toutes les applications modernes sont construites à l’aide de logiciels open source tiers, un seul défaut ou ajustement dans une bibliothèque peut se répercuter dans toutes les applications utilisant ce code. Conclusion : ces changements constants ont un impact direct sur la sécurité des logiciels.

Presque tous les référentiels incluent des bibliothèques avec au moins une vulnérabilité. «La sécurité d’une bibliothèque peut changer rapidement, commente Chris Eng, Research Director, Veracode. Il est donc crucial de conserver un inventaire à jour de ce qu’il y a dans votre application. Nous avons constaté qu’une fois que les développeurs choisissent une bibliothèque, ils la mettent rarement à jour. Avec des fournisseurs confrontés à une surveillance croissante de la sécurité de leur chaîne d’approvisionnement, il n’y a tout simplement aucun moyen de justifier une mentalité ‘définissez-le et oubliez-le !’. Il est essentiel que les développeurs maintiennent ces composants à jour. Il est essentiel, aussi, qu’ils réagissent rapidement aux vulnérabilités au fur et à mesure qu’elles sont découvertes.»

Construire des applications sécurisées avec du code open source n’a pas à être exigeant

Un manque de compréhension contextuelle de la relation entre une bibliothèque vulnérable et son application peut être un obstacle. Par exemple, les développeurs qui signalent qu’ils ne disposent pas de ces informations mettront plus de sept mois à corriger 50 % des défauts.

A l’opposé, le délai se réduit à trois semaines lorsqu’ils disposent des informations et des conseils appropriés. De plus, ils peuvent réagir rapidement lorsqu’ils sont alertés d’une bibliothèque vulnérable. Près de 20 % des failles peuvent être corrigées en une heure et 25 % en une semaine. Avec les informations précises en temps opportun, les développeurs peuvent hiérarchiser de manière appropriée la sécurité.