Snyk Blog

Rapport 2022 State of Open Source Security (rapport sur l’état de la sécurité open source) réalisé par Snyk et la Fondation Linux

Écrit par:
Megan Moore
Megan Moore
wordpress-sync/feature-state-of-open-source

June 21, 2022

0 minutes de lecture

Les logiciels open source constituent un élément clé des applications modernes. Ces logiciels ont ouvert la voie à une nouvelle ère du développement logiciel, en favorisant le libre échange d’idées au sein de la communauté des développeurs et en permettant à ces derniers de créer des logiciels plus fonctionnels, plus rapidement que jamais auparavant. D’après la plupart des estimations, 70 à 90 % de tous les logiciels modernes incluent du code open source.

Tout comme le font les développeurs de code propriétaire, les créateurs de code open source utilisent des paquets open source afin d’accélérer le développement. En d’autres termes, les bibliothèques open source s’appuient souvent sur d’autres bibliothèques open source - connues sous le nom de dépendances indirectes ou dépendances transitives \- créant ainsi une arborescence complexe de dépendances. Du point de vue de la sécurité, les logiciels open source introduisent de nombreuses couches de code dans vos applications - et des vulnérabilités peuvent être présentes dans toutes ces couches (comme nous l’avons vu récemment avec Log4Shell). La gestion de ce risque nécessite une planification réfléchie et la mise en œuvre de politiques de sécurité qui tiennent compte de la surface d’attaque potentielle des bibliothèques open source. Il est également nécessaire de doter votre équipe d’outils fiables et efficaces permettant de corriger les vulnérabilités détectées et de s’adapter à l’apparition de nouvelles vulnérabilités.

Compte tenu de la prolifération des logiciels open source et de la complexité accrue des arborescences de dépendances, Snyk s’est récemment associé à la Fondation Linux pour étudier la manière dont les organisations détectent, atténuent et réduisent les risques de sécurité posés par les logiciels open source. Aujourd’hui, nous sommes fiers de présenter le résultat de ces travaux de recherche : le rapport 2022 State of Open Source Security.

Chiffres clés de nos recherches

Ce rapport annuel détaille les risques de sécurité importants qui résultent de l’utilisation généralisée des logiciels open source. Nos recherches ont révélé que de nombreuses organisations ne sont pas préparées pour faire face à ces risques. Plus précisément, nous avons constaté que :

  • 41 % des organisations n’ont pas une confiance élevée dans la sécurité de leurs logiciels open source.

  • L’application moyenne en cours de développement contient 49 vulnérabilités et 69 dépendances.

  • Le temps nécessaire à la correction des vulnérabilités dans les projets open source n’a cessé d’augmenter, faisant plus que doubler : de 49 jours en 2018, à 110 jours en 2021.

  • 51 % des organisations ne disposent pas de politique de sécurité relative au développement ou à l’utilisation des logiciels open source.

  • 30 % des organisations qui n’ont pas de politique de sécurité des logiciels open source reconnaissent d’emblée que personne dans leur équipe n’est responsable de la sécurité des logiciels open source.

La conclusion la plus importante est peut-être que beaucoup d’organisations n’appréhendent toujours pas pleinement l’étendue des vulnérabilités potentielles des paquets open source, et ne disposent pas des politiques nécessaires pour protéger efficacement leurs applications. L’utilisation de paquets open source exige de porter un nouveau regard sur la sécurité des développeurs, que de nombreuses organisations n’ont pas encore adopté.

Ce rapport conjoint, le premier du genre, a mis en évidence de nombreuses preuves suggérant la naïveté du secteur quant à l’état de la sécurité des logiciels open source aujourd’hui. En collaboration avec la Fondation Linux, nous souhaitons tirer parti de ces résultats pour former et équiper davantage les développeurs du monde entier, afin de leur permettre de continuer à construire rapidement, tout en restant en sécurité.

Snyk

Matt Jarvis

Director of Developer Relations, Snyk

L’utilisation des logiciels open source va indubitablement continuer d’augmenter à l’avenir. En connaissant les risques liés aux paquets open source et en sachant mettre en place des mesures de protection adaptées à ces risques, votre organisation pourra bénéficier de la technologie open source de manière efficace et sûre. Trouver les outils et les politiques les plus efficaces pour la sécurité open source est un excellent point de départ.

À propos de ce projet

Le rapport 2022 State of Open Source Security est le résultat d’une collaboration entre Snyk et la Fondation Linux, avec le soutien d’OpenSSF, de la Cloud Native Security Foundation, de la Continuous Delivery Foundation et de la Fondation Eclipse. Le rapport est basé sur une enquête menée auprès de plus de 550 répondants au cours du premier trimestre 2022 et sur les données de Snyk Open Source, qui a analysé plus de 1,3 milliard de projets open source.

wordpress-sync/feature-state-of-open-source-security-scaled

Publié dans:Sécurité open source
wordpress-sync/feature-state-of-open-source

Vous voulez l’essayer par vous-même ?

Snyk interviewed 20+ security leaders who have successfully and unsuccessfully built security champions programs. Check out this playbook to learn how to run an effective developer-focused security champions program.

Réservez une démo en ligne

Approfondir le sujet

La sécurité des logiciels open source est plus importante que jamais. Découvrez comment les entreprises gèrent les risques liés aux logiciels open source dans ce rapport de Snyk et de la Fondation Linux.

Téléchargez le rapport complet
Patch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo Segment

Snyk est une plateforme de sécurité des développeurs. S’intégrant directement aux outils, workflows et pipelines de développement, Snyk facilite la détection, la priorisation et la correction des failles de sécurité dans le code, les dépendances, les conteneurs et l’infrastructure en tant que code (IaC). Soutenu par une intelligence applicative et sécuritaire de pointe, Snyk intègre l'expertise de la sécurité au sein des outils de chaque développeur.

Démarrez gratuitementRéservez une démo en ligne

Produit

Qu’est-ce que Snyk ?Snyk Code (SAST)Snyk Open Source (SCA)Snyk ContainerSnyk Infrastructure as CodeSnyk AppRisk (ASPM)Plateforme de sécurité des développeursSécurité des applicationsSécurité de la chaîne d’approvisionnement logicielleSécurité du code généré par l’IA DeepCode AITarifsOptions de déploiementIntégrationsPlugins pour les IDESécurité GitSécurité des pipelines de CI/CDSnyk CLISnyk LearnSnyk pour JavaScript

Ressources

DocumentationDocuments sur l’API SnykStatut de l’APIVulnérabilités divulguéesPortail de support et FAQBlogPrincipes fondamentaux de la sécuritéRessources pour les leaders de la sécuritéRessources pour les hackers éthiquesBase de données des vulnérabilitésSnyk OSS AdvisorTop 10 de SnykVidéosRessources client

Société

À proposClientsCarrièresÉvénementsSnyk pour le secteur publicDossier de presseSécurité et confianceMentions légalesConfidentialitéPour les résidents de Californie : Ne vendez pas mes informations à caractère personnelConditions d'utilisation du site web

Connexion

Réservez une démo en ligneContactez-nousSupportSignaler une nouvelle vulnérabilité

Sécurité

Sécurité des applicationsSécurité des conteneursSécurité de la chaîne d’approvisionnementSécurité JavascriptSécurité open sourceSécurité AWSSDLC sécuriséPosture de sécuritéCode sécuriséHacking éthiqueL’IA dans la cybersécuritéVérificateur de codePythonCybersécurité en entrepriseJavaScriptSnyk With GitHubComparaison Snyk/VeracodeSnyk vs Checkmarx

© 2024 Snyk Limited
Enregistré en Angleterre et au Pays de Galles

logo-devseccon