Les devis actuels indiquent que 70 à 90 % des applications logicielles utilisent l’open source. Cependant, à quel point l’open source est-il sûr ? Les packages open source sont partagés par les concepteurs à l’échelle internationale, donc l’utilisation de l’open source dans vos propres applications suggère de présenter du code tiers dans vos projets. Cela peut introduire des dangers pour la sécurité, et plus un bundle open source est couramment utilisé, plus l’effet d’une vulnérabilité de sécurité à l’intérieur peut être important.
Une nouvelle tâche de recherche de Snyk et de la structure Linux s’est concentrée sur la façon dont les organisations sécurisent leurs packages open source. La tâche a examiné comment les développeurs découvrent et résolvent le danger. Une analyse complète des informations recueillies a révélé certaines mauvaises actions importantes que les organisations prennent en matière de sécurité open source. Voici 3 étapes que les entreprises peuvent suivre pour corriger ces erreurs et adopter des pratiques de sécurité renforcées autour de l’open source.
1. Comprendre que les dépendances apportent de la complexité
La tâche moyenne a 49 vulnérabilités couvrant 79 dépendances directes.
La sécurité open source devient une plus grande difficulté à mesure que la chaîne d’approvisionnement logicielle devient plus complexe. Presque toutes les applications modernes sont construites avec des composants qui dépendent d’autres parties, développant une chaîne d’approvisionnement qui implique des centaines de composants et des dépendances à plusieurs niveaux.
La chaîne d’approvisionnement logicielle est un point d’entrée attrayant pour les stars destructrices car elles peuvent bénéficier des vulnérabilités des petites bibliothèques largement utilisées. Gardez à l’esprit Log4Shell ? Cela rendait toutes les données entrantes enregistrées vulnérables aux attaques RCE (exécution de code à distance). C’était une faiblesse importante au sein d’une structure de journalisation open source populaire – une vulnérabilité à l’intérieur d’une dépendance.
Seules 24 % des organisations sont positives quant à la sécurité de leurs dépendances directes. Et tandis que 37 % des organisations déclarent que les dépendances sont simples à suivre, ces dépendances ne sont pas toujours dans un état sécurisé.
2. Préparez-vous avec des politiques de sécurité
Seules 49 % des organisations ont une politique de sécurité qui aborde clairement le développement et l’utilisation de plans open source.
Cela est facile à comprendre dans les organisations de petite taille, où les ressources sont limitées. Les recherches ont également montré que 27 % des moyennes et grandes entreprises n’ont pas de politique de sécurité établie sur place. Lorsque vous pensez à la quantité de données que chacune de ces entreprises peut traiter, 27 % est une statistique déconcertante.
Chaque organisation a besoin d’un RSSI (chef de la sécurité des informations) ou d’un individu ou une équipe chargée d’obligations cruciales en matière de sécurité. Lorsque des capacités CISO cruciales existent et sont disponibles, une politique de sécurité open source suivra. Des politiques exploitables doivent être mises en place et diffusées dans toutes les équipes, en commençant par les RSSI et les concepteurs, et en se déplaçant dans toute l’organisation.
3. Utilisez les bons outils
73 % des organisations recherchent les meilleures pratiques pour améliorer la sécurité de leurs logiciels.
Les organisations doivent acheter un ensemble varié d’outils pour les aider à développer des applications plus protégées. Souvent, les outils SCA (analyse de la structure des applications logicielles) peuvent offrir un avantage considérable en permettant aux groupes de découvrir les vulnérabilités dans les bundles open source et d’apprendre à les corriger. Certaines organisations utilisent d’autres outils en fonction de leurs choix en matière de filtrage de sécurité.
Les outils SAST (Fixed Application Security Screening), utilisés dans 35 % des organisations, analysent le code source, le bytecode et le code binaire afin de reconnaître les schémas de codage gênants. Certaines organisations utilisent un modèle IaC (infrastructure en tant que code) pour aider les développeurs à écrire des configurations HashiCorp Terraform, AWS CloudFormation, Kubernetes et Azure Resource Manager (ARM) sécurisées avant de toucher à la production. Les configurations IaC intègrent les meilleures pratiques de sécurité directement dans les flux de travail d’avancement.
Chacune de ces alternatives d’outils peut aider les organisations à prendre des mesures considérables pour donner la priorité à la sécurité open source.
La puissance combinée de l’éducation, des politiques et des outils
L’utilisation sécurisée de plans open source nécessite une nouvelle méthode de réflexion sur la sécurité des développeurs que de nombreuses organisations n’ont pas encore adoptée. Savoir quels dangers existent dans les plans open source et comprendre comment renforcer la sécurité par rapport à ces dangers peut permettre à votre organisation d’utiliser l’innovation open source de manière efficace et sécurisée. Trouver les outils et les politiques les plus efficaces pour la sécurité open source est un excellent point de départ.
Toute l’actualité en temps réel, est sur L’Entrepreneur
