Aujourd’hui, Snyk et The Linux Structure ont publié le rapport State of Open Source Security, qui analyse les dangers pour la sécurité de l’utilisation intensive de logiciels open source.
Parmi les conclusions du rapport, 41 % des entreprises n’ont pas une grande confiance en elles dans la sécurité de leurs applications logicielles open source. Dans le même temps, seules 49 % des entreprises déclarent disposer d’une politique de sécurité pour le développement ou l’utilisation d’OSS.
Le rapport intervient au milieu de problèmes croissants concernant la sécurité des logiciels open source suite aux ravages causés par la vulnérabilité log4shell zero-day. Cela a conduit au White Home Open Source Security Summit II, où des organisations telles qu’Amazon, Google et Microsoft se sont réunies pour se consacrer à l’amélioration de la sécurité open source.
L’absence de préparation à la sécurité rattrape les organisations
Pour les entreprises, parmi les tendances essentielles du rapport, il y a une absence de capacité parmi les organisations pour protéger la chaîne d’approvisionnement open source. Par exemple, les scientifiques ont découvert qu’un projet moyen d’avancement d’application comportait 49 vulnérabilités et 80 dépendances directes.
En outre, le temps nécessaire aux entreprises pour corriger les vulnérabilités dans les projets open source a également considérablement augmenté, passant de 49 jours en 2018 à 110 jours en 2021.
Au cœur de l’obstacle de la sécurisation des logiciels open source se trouve le fait qu’il existe une variation importante du niveau de maintenance entre chaque tâche.
« L’open source est un vaste paysage et une vaste église. Pour chaque travail substantiel comme le noyau Linux ou Kubernetes qui sont établis en premier lieu par des personnes travaillant pour les entreprises, il existe d’innombrables tâches beaucoup plus petites, » a déclaré Matt Jarvis, directeur des relations créateurs chez Snyk. « Une grande partie de ces concepteurs peuvent maintenir le logiciel pendant leur temps libre et se concentrent sur la tentative d’offrir des fonctionnalités aux utilisateurs, avec peu de temps et de ressources disponibles pour les problèmes de sécurité. »
Les fournisseurs sécuriser la chaîne d’approvisionnement open source
Dans cet environnement, Jarvis suggère que les entreprises commencent à spécifier des politiques autour des solutions open source, en analysant les dépendances open source, les images de conteneurs et le code source pour les vulnérabilités et les atténuant pour réduire les menaces pour l’organisation dans son ensemble.
Snyk fournit actuellement une option pour identifier automatiquement les vulnérabilités dans le code, grâce à l’utilisation de renseignements de sécurité, et occupe un emplacement en tant que l’une des principales sociétés de sécurité de la chaîne d’approvisionnement open source.
L’année dernière, Snyk a annoncé avoir levé 530 millions de dollars dans le cadre d’un cycle de financement de série F et atteint une valorisation de 8,5 milliards de dollars.
De toute évidence, Snyk n’est pas le seul fournisseur de services à avoir pour objectif d’atténuer les faiblesses de la chaîne d’approvisionnement des applications logicielles. Il est également en concurrence avec des rivaux comme SonarSource avec SonarQube, qui utilisent l’analyse de code pour reconnaître s’il y a des bogues ou des vulnérabilités dans le code du développeur qui pourraient mettre l’entreprise en danger.
Précédemment cette année, SonarSource a révélé qu’il avait en fait levé 412 millions de dollars de financement et réalisé une valorisation de 4,7 milliards de dollars. Les autres concurrents sur le marché incluent DevSecOps et des outils d’analyse de la qualité du code comme Sonatype, et des outils comme Dependabot, qui offrent des mises à jour automatisées de la dépendance.
Snyk déclare que son principal différenciateur se résume aux approches de surveillance de la dépendance qui aident à garantir la sécurité du code tiers. Ceci est différent des outils de revue de code comme SonarQybe qui se concentrent sur l’assistance aux développeurs pour améliorer la qualité du code qu’ils produisent eux-mêmes.
L’objectif de VentureBeat est d’être une place publique numérique pour les décideurs techniques d’acquérir une compréhension de l’innovation commerciale transformatrice et des transactions. En savoir plus sur l’abonnement.
Toute l’actualité en temps réel, est sur L’Entrepreneur
