Rapport 2022 State of Open Source Security (rapport sur l’état de la sécurité open source) réalisé par Snyk et la Fondation Linux
21 juin 2022
0 minutes de lectureLes logiciels open source constituent un élément clé des applications modernes. Ces logiciels ont ouvert la voie à une nouvelle ère du développement logiciel, en favorisant le libre échange d’idées au sein de la communauté des développeurs et en permettant à ces derniers de créer des logiciels plus fonctionnels, plus rapidement que jamais auparavant. D’après la plupart des estimations, 70 à 90 % de tous les logiciels modernes incluent du code open source.
Tout comme le font les développeurs de code propriétaire, les créateurs de code open source utilisent des paquets open source afin d’accélérer le développement. En d’autres termes, les bibliothèques open source s’appuient souvent sur d’autres bibliothèques open source - connues sous le nom de dépendances indirectes ou dépendances transitives \- créant ainsi une arborescence complexe de dépendances. Du point de vue de la sécurité, les logiciels open source introduisent de nombreuses couches de code dans vos applications - et des vulnérabilités peuvent être présentes dans toutes ces couches (comme nous l’avons vu récemment avec Log4Shell). La gestion de ce risque nécessite une planification réfléchie et la mise en œuvre de politiques de sécurité qui tiennent compte de la surface d’attaque potentielle des bibliothèques open source. Il est également nécessaire de doter votre équipe d’outils fiables et efficaces permettant de corriger les vulnérabilités détectées et de s’adapter à l’apparition de nouvelles vulnérabilités.
Compte tenu de la prolifération des logiciels open source et de la complexité accrue des arborescences de dépendances, Snyk s’est récemment associé à la Fondation Linux pour étudier la manière dont les organisations détectent, atténuent et réduisent les risques de sécurité posés par les logiciels open source. Aujourd’hui, nous sommes fiers de présenter le résultat de ces travaux de recherche : le rapport 2022 State of Open Source Security.
Chiffres clés de nos recherches
Ce rapport annuel détaille les risques de sécurité importants qui résultent de l’utilisation généralisée des logiciels open source. Nos recherches ont révélé que de nombreuses organisations ne sont pas préparées pour faire face à ces risques. Plus précisément, nous avons constaté que :
41 % des organisations n’ont pas une confiance élevée dans la sécurité de leurs logiciels open source.
L’application moyenne en cours de développement contient 49 vulnérabilités et 69 dépendances.
Le temps nécessaire à la correction des vulnérabilités dans les projets open source n’a cessé d’augmenter, faisant plus que doubler : de 49 jours en 2018, à 110 jours en 2021.
51 % des organisations ne disposent pas de politique de sécurité relative au développement ou à l’utilisation des logiciels open source.
30 % des organisations qui n’ont pas de politique de sécurité des logiciels open source reconnaissent d’emblée que personne dans leur équipe n’est responsable de la sécurité des logiciels open source.
La conclusion la plus importante est peut-être que beaucoup d’organisations n’appréhendent toujours pas pleinement l’étendue des vulnérabilités potentielles des paquets open source, et ne disposent pas des politiques nécessaires pour protéger efficacement leurs applications. L’utilisation de paquets open source exige de porter un nouveau regard sur la sécurité des développeurs, que de nombreuses organisations n’ont pas encore adopté.
L’utilisation des logiciels open source va indubitablement continuer d’augmenter à l’avenir. En connaissant les risques liés aux paquets open source et en sachant mettre en place des mesures de protection adaptées à ces risques, votre organisation pourra bénéficier de la technologie open source de manière efficace et sûre. Trouver les outils et les politiques les plus efficaces pour la sécurité open source est un excellent point de départ.
À propos de ce projet
Le rapport 2022 State of Open Source Security est le résultat d’une collaboration entre Snyk et la Fondation Linux, avec le soutien d’OpenSSF, de la Cloud Native Security Foundation, de la Continuous Delivery Foundation et de la Fondation Eclipse. Le rapport est basé sur une enquête menée auprès de plus de 550 répondants au cours du premier trimestre 2022 et sur les données de Snyk Open Source, qui a analysé plus de 1,3 milliard de projets open source.