Contenu
- Open Source Partout
- Vulnérabilités Open Source: les résultats sont dans
- Quel est le plus vulnérable de tous?
- Pas de bugs, pas de stress - Votre guide étape par étape pour créer un logiciel qui change la vie sans vous détruire
- Les vulnérabilités de l'Ouest sauvage des sources ouvertes
- La communauté Open Source est au sommet de la sécurité - Les utilisateurs doivent maintenant rattraper leur retard
- Comment se lancer dans la sécurité Open Source
À emporter:
Les composants open source sont un excellent moyen de créer des logiciels, mais leurs vulnérabilités pourraient mettre en péril toute votre entreprise. Connaître les risques et rester à jour sur les solutions de sécurité open source pour vous protéger et protéger votre entreprise.
Alors que les équipes de développement luttent pour suivre le rythme concurrentiel de la production logicielle, les composants open source font désormais partie intégrante de la boîte à outils de chaque développeur, les aidant ainsi à créer et à expédier des produits innovants à la vitesse de DevOps.
L'augmentation constante de l'utilisation de l'open source, associée à des violations de données saisissantes telles que celle d'Equifax qui exploitait des vulnérabilités dans des composants open source, pourrait enfin amener les organisations à gérer la sécurité de l'open source et à remédier aux vulnérabilités de l'open source. La question est cependant de savoir s'ils savent par où commencer. (Pour en savoir plus, voir Qualitative vs Quantitative: il est temps de changer Comment nous évaluons la gravité des vulnérabilités tierces?)
Open Source Partout
WhiteSource a récemment publié le rapport sur l'état de la vulnérabilité des sources Open Source afin de fournir des informations permettant aux organisations de mieux comprendre comment aborder la sécurité Open Source. Selon le rapport, qui inclut les résultats d'une enquête sur l'utilisation de l'open source menée auprès de 650 développeurs des États-Unis et d'Europe occidentale, 87,4% des développeurs utilisent des composants open source «très souvent» ou «tout le temps». ”Un autre 9,4% ont répondu qu'ils utilisaient“ parfois ”des composants open source. Ce qui est remarquable, c'est que seulement 3,2% des participants ont répondu qu'ils n'utilisaient jamais l'open source, ce qui était supposé découler de la politique de l'entreprise.
Ces chiffres prouvent clairement qu’un développeur travaillant sur un projet logiciel exploite très probablement des composants open source.
Vulnérabilités Open Source: les résultats sont dans
Le rapport a également analysé en profondeur la base de données open source WhiteSource, qui est agrégée à partir de la base de données NVD (National Vulnerability Database), d'avis de sécurité, de bases de données de vulnérabilités révisées par des pairs et de suiveurs populaires de problèmes open source, pour en savoir plus sur les vulnérabilités Open Source indispensables aux équipes de développement. traiter.
Les résultats ont montré que le nombre de vulnérabilités Open Source connues avait atteint un record en 2017 avec près de 3 500 vulnérabilités. Cela représente une augmentation de plus de 60% du nombre de vulnérabilités divulguées selon l’Open Source révélées par rapport à 2016, et la tendance ne montre aucun signe de ralentissement en 2018.
Quel est le plus vulnérable de tous?
La recherche a également exploré la base de données pour trouver les projets open source les plus vulnérables et abouti à des résultats surprenants. Alors que 7,5% de tous les projets open source sont vulnérables, 32% des 100 projets open source les plus populaires présentent au moins une vulnérabilité.
Bien qu'une vulnérabilité soit suffisante pour mettre en danger plusieurs bibliothèques, un projet open source vulnérable contient en moyenne huit vulnérabilités. Cela signifie que les projets open source les plus populaires sont souvent aussi ceux qui présentent une vulnérabilité élevée.
Pas de bugs, pas de stress - Votre guide étape par étape pour créer un logiciel qui change la vie sans vous détruire
Vous ne pouvez pas améliorer vos compétences en programmation lorsque personne ne se soucie de la qualité des logiciels.
Cet aperçu devient encore plus clair lorsque nous examinons la liste des 10 principaux projets open source présentant le plus grand nombre de vulnérabilités Open Source. La liste des 10 meilleurs projets inclut des projets open source extrêmement populaires que beaucoup d’entre nous utilisons.
Ces projets ont plusieurs points communs: la plupart d’entre eux sont des composants frontaux orientés Internet dotés de larges surfaces d’attaque très exposées, ce qui les rend relativement faciles à exploiter. C’est pourquoi ils attirent énormément l’attention de la communauté des chercheurs en sécurité open source.
Un autre aspect commun à beaucoup de ces projets est que la plupart sont soutenus par des sociétés commerciales. Compte tenu des enjeux et des ressources qui les sous-tendent, on peut se demander: Comment des projets soutenus par de tels acteurs sont-ils si vulnérables?
Les vulnérabilités de l'Ouest sauvage des sources ouvertes
Dans le passé, la découverte de vulnérabilités Open Source suscitait un débat animé sur la question de savoir si les composants Open Source étaient suffisamment bien entretenus pour pouvoir être utilisés en toute sécurité. Heureusement, ces temps sont révolus et nous savons aujourd'hui que la multiplication des vulnérabilités Open Source signalées témoigne de la rapidité avec laquelle la communauté Open Source et la communauté de la sécurité réagissent pour faire face au paysage des menaces.
La croissance exponentielle de la communauté open source et la découverte tardive de vulnérabilités notoires dans des composants extrêmement populaires, tels que ceux qui ont permis à Heartbleed de prospérer, ont entraîné une prise de conscience accrue de la sécurité open source et une armée de chercheurs analysant l'open source projets pour les vulnérabilités, ainsi qu'un redressement rapide pour les correctifs.
En fait, le rapport WhiteSource a révélé que 97% de toutes les vulnérabilités signalées ont au moins un correctif suggéré dans la communauté open source, les mises à jour de sécurité étant généralement publiées quelques jours après la publication d'une vulnérabilité. (Pour plus d'informations sur l'open source, consultez Open Source: est-il trop beau pour être vrai?)
La communauté Open Source est au sommet de la sécurité - Les utilisateurs doivent maintenant rattraper leur retard
Bien que la collaboration et les efforts de la communauté open source pour améliorer la sécurité open source donnent des résultats probants en termes de découverte de vulnérabilités, de divulgation et de solutions rapides, il est difficile pour les utilisateurs de suivre, en raison de la nature décentralisée de la communauté open source.
Lorsque les développeurs utilisent des composants logiciels commerciaux, les mises à jour de version font partie du service pour lequel ils paient et les fournisseurs peuvent être très pressés de s’assurer que vous le voyez bien.
Ce n’est pas ainsi que l’open source fonctionne. Les données WhiteSource qui ont montré que seulement 86% des vulnérabilités Open Source signalées apparaissent dans la base de données CVE. En effet, la nature collaborative et décentralisée de la communauté open source signifie que les informations et les mises à jour relatives aux vulnérabilités open source sont publiées sur des centaines de ressources. Ce type d’information est impossible à suivre manuellement, en particulier si l’on considère le volume d’utilisation open source.
Comment se lancer dans la sécurité Open Source
L'augmentation constante des vulnérabilités de l'open source est un défi que les entreprises doivent résoudre de front, compte tenu de la généralisation de l'utilisation de l'open source. Bien que le nombre élevé de vulnérabilités open source, y compris les projets les plus populaires, puisse sembler écrasant, apprendre la manière dont la communauté gère la sécurité open source est un pas dans la bonne direction.
L'étape suivante consiste à accepter que la gestion de la sécurité open source s'accompagne d'un ensemble de règles, d'outils et de pratiques différent de celui de la sécurisation de composants commerciaux ou propriétaires. S'en tenir aux mêmes programmes et outils de gestion des vulnérabilités ne vous aidera pas dans la gestion de la sécurité open source.
L’adoption d’une politique de sécurité open source prenant en compte ces différences et l’incorporation des technologies appropriées pour automatiser leur gestion aideront les équipes de sécurité et de développement à relever les défis uniques posés par les vulnérabilités open source, leur permettant de revenir à la création de logiciels de qualité.