Une nouvelle étude de recherche d’Endor Labs offre un aperçu de l’utilisation répandue mais souvent non surveillée des applications logicielles open source existantes dans l’avancement des applications et des dangers découlant de cette pratique typique.
Vulnérabilités open source
À titre d’exemple, la recherche révèle que 95 % de toutes les vulnérabilités sont découvertes dans des dépendances transitives – des plans de code open source que les concepteurs ne choisissent pas, mais sont indirectement entraînés dans les tâches.
Il s’agit du tout premier rapport de Station 9, une capacité d’étude de recherche développée par Endor Labs qui réunit des scientifiques, des universitaires et des leaders convaincus du monde entier.
« Dans cet environnement, L’application logicielle open source est l’épine dorsale de nos installations critiques – mais même les concepteurs et les cadres expérimentés sont souvent stupéfaits de découvrir que 80 % du code des applications modernes provient d’OSS existants », a déclaré Varun Badhwar, PDG d’Endor Labs.
« Il s’agit d’une arène immense, mais elle a été largement négligée. Si la réutilisation du code open source doit être à la hauteur de son potentiel, la sécurité doit être transférée en haut de la liste des priorités », Badhwar ajoutée.
Le problème n’est pas toujours l’utilisation intensive du code open source existant dans les nouvelles applications ; c’est que seul un petit échantillon de ces dépendances d’applications logicielles est en fait sélectionné par les concepteurs impliqués.
Les autres sont des dépendances « transitives » ou indirectes immédiatement insérées dans la base de code. Cela ouvre la voie à des vulnérabilités, prospectives et reconnaissables, ayant un impact à la fois sur les mondes de la sécurité et de l’avancement.
Conclusions clés du rapport
Pour n’en citer que quelques-unes, le rapport expose :
- La grande majorité de toutes les vulnérabilités, 95 %, sont sans aucun doute découvertes dans des dépendances transitives, ce qui rend très difficile pour les développeurs d’examiner le véritable effet de ces problèmes ou même s’ils peuvent être obtenus.
- Une comparaison entre les 2 initiatives communautaires les plus populaires pour déterminer les tâches vitales – Census II et OpenSSF Urgency Ratings – révèle que déterminer l’urgence est loin d’être facile. En vérité, 75 % des plans du recensement II ont une cote d’urgence inférieure à 0,64 ; les organisations doivent choisir elles-mêmes quels projets open source sont importants.
- La confusion de la dépendance a en fait été un avantage majeur pour les personnes malveillantes dans les attaques actuelles de la chaîne d’approvisionnement. Dans le même temps, les indications de risque couvertes par des efforts largement utilisés ne peuvent généralement pas signaler ces attaques.
- Problème à venir : 50 % des plans Census II les plus utilisés n’ont pas été publiés en 2022, et 30 % ont eu leur dernière version avant 2018 – cela peut entraîner de graves problèmes de sécurité et de fonctionnement à l’avenir.
- Nouveau n’est pas synonyme de sécurité – Lors de la mise à niveau vers la version actuelle d’un package, il y a toujours un 32 % de possibilité qu’il ait des vulnérabilités connues.
- L’accessibilité est le critère le plus essentiel lors de la hiérarchisation ; le faire en se basant uniquement sur des métriques de sécurité (telles que les cotes CVSS) ou en ignorant les vulnérabilités dans les dépendances de test ne diminue la probabilité d’une vulnérabilité que de 20 %.
Toute l’actualité en temps réel, est sur L’Entrepreneur