Rejoignez Transform 2021 du 12 au 16 juillet. S’inscrire àr l’événement IA de l’année.


Le nombre de bases de code avec au moins une vulnérabilité open source a augmenté de neuf points de pourcentage par rapport à 2020, selon un nouveau rapport Synopsys, la société de conception de silicium à l’origine de la plateforme de gestion de la sécurité open source Canard noir.

Dans le sixième rapport d’analyse de la sécurité et des risques Open Source (OSSRA), Synopsys a déclaré qu’il fournissait «un aperçu détaillé des risques de sécurité, de conformité, de licence et de qualité du code open source dans les logiciels commerciaux», y compris les 1 546 bases de code commerciales observées scannées par Black Duck en 2020, 84% contenaient au moins une vulnérabilité open source – jusqu’à 75% dans le rapport de l’année précédente.

La plupart des programmes modernes sont basés dans une certaine mesure sur des logiciels open source car ils permettent aux entreprises de gagner du temps et des ressources nécessaires pour développer et maintenir tous les composants en interne. Canard noir qui Synopsys a acheté pour 547 millions de dollars en 2017est l’une des nombreuses plates-formes d’analyse de la composition logicielle (SCA), y compris d’autres Type de Sona, qu’est-ce que c’était Racheté par Vista Equity Partners en 2019; Snykqui récemment fermé un tour de financement de 300 millions de dollars; et WhiteSource que a levé 75 millions de dollars la semaine dernière. Les organisations utilisent ces plates-formes pour identifier chaque composant open source de leur pile afin de découvrir les vulnérabilités et les risques de conformité des licences. Et ce sont ces audits open source que Synopsys et Black Duck utilisent principalement comme base pour leur rapport annuel OSSRA.

Les 1 546 bases de code qui composaient le rapport de cette année couvraient 17 secteurs, dont l’aérospatiale, la fintech, l’IoT et les télécommunications. Synopsys a conclu que 98% des bases de code contiennent du code open source. C’est légèrement moins que l’année précédente (99%), mais des écarts supplémentaires sont à prévoir. L’essentiel est que la plupart des applications continuent de s’appuyer sur des composants open source.

Pourquoi les vulnérabilités devraient-elles se propager si rapidement? Tim Mackey, stratège en chef de la sécurité au Synopsys Cybersecurity Research Center (CyRC), estime que si la croissance de la vulnérabilité présente certaines complexités, le problème pour la plupart des organisations est essentiellement de l’ordre de grandeur.

«Si vous regardez le nombre moyen de composants dans une application au cours des trois dernières années, il est passé de 298 à 445 et maintenant à 528», a-t-il déclaré à VentureBeat. «Si quelqu’un a conçu ses processus de mise à jour et de correctifs pour gérer 300 composants par application en 2018, il ne s’attendait probablement pas à ce que l’utilisation augmente autant dans deux ans. Puis quand tu superposes ça CERT US (U.S. Cyber ​​Security and Infrastructure Agency) a signalé une moyenne de 48 nouvelles CVE (Common Vulnerabilities and Vulnerabilities) par jour en 2020.

Au centre du problème se trouve le grand choix de progiciels open source. Un certain nombre d’outils ont vu le jour pour aider les développeurs et les entreprises à mieux comprendre le monde de l’open source. Openbase par exemple, veut être le Yelp pour les progiciels open source. Générateur de piles OpenLogics aide les entreprises à choisir la bonne combinaison de logiciels open source pour vos besoins. Et l’indice Open Source de Two Sigma Ventures met en évidence les projets les plus populaires de GitHub en ce moment.

S’il est important de choisir le bon package, il est tout aussi important de suivre les mises à jour. En bref, les développeurs ont souvent du mal à garder une trace de leur pile open source et à se souvenir d’où ils ont obtenu leurs composants open source quand vient le temps de télécharger des correctifs. C’est un domaine dans lequel des entreprises comme Synopsys se taillent leur créneau.

Code à haut risque

Le large consensus de l’industrie est que les vulnérabilités du code open source sont répandues et que les mauvais acteurs meurent d’envie de les exploiter. Dans son État de la sécurité du logiciel: Open Source Edition L’année dernière, la société de sécurité des applications Veracode a signalé que 70% de ses applications contenaient une vulnérabilité dans une bibliothèque open source, alors que Sonatype l’a fait. récemment signalé Une augmentation de 430% des attaques contre les chaînes d’approvisionnement de logiciels open source.

Mais toutes les vulnérabilités ne sont pas créées de la même manière et beaucoup offrent aux pirates une marge de manœuvre limitée pour les exploiter. Dans une interview avec VentureBeat plus tôt cette semaine, le PDG et co-fondateur de WhiteSource, Rami Sass, a déclaré que les recherches de la société ont montré que seulement « 15% à 30% des vulnérabilités sont efficaces – la majorité des vulnérabilités open source ne sont pas appelées code propriétaire.

Il est donc important de faire la distinction entre les failles de sécurité immédiatement dangereuses et les bugs mineurs. Dans cet esprit, le dernier rapport de Synopsys a révélé que le pourcentage de bases de code avec des vulnérabilités open source à haut risque a augmenté de 11 points de pourcentage pour atteindre 60% en 2020, avec «haut risque» défini comme une vulnérabilité qui a été activement exploitée Proof -of -Concept-Exploits »ou a été identifié comme une« vulnérabilité d’exécution de code à distance ».

Ci-dessus: Synopsys: Vulnérabilités dans les bases de code

En outre, certaines des dix principales vulnérabilités open source identifiées dans le rapport de 2019 ont non seulement augmenté la tête en 2020, mais ont également enregistré des gains de pourcentage importants – ce qui a été la plus grande surprise à laquelle l’entreprise a eu lieu, selon Mackey vu son examen.

« Normalement, nous nous attendons à ce que l’exposition à une CVE particulière diminue avec le temps », a-t-il déclaré. « Dès qu’une vulnérabilité est signalée, la plupart des équipes souhaitent appliquer le correctif. »

Les deux failles de sécurité les plus importantes concernaient jQuery et affichaient une croissance à deux chiffres par rapport à l’année précédente.

Ci-dessus: Synopsys: Top 10 des vulnérabilités

Conflits de licence

Outre la vulnérabilité, le dernier rapport OSSRA a révélé que le nombre de bases de code avec des conflits de licence open source a légèrement diminué d’une année sur l’autre, passant de 67% à 65%, dont près des trois quarts Licence publique générale GNU.

Désormais, 26% des bases de code utilisaient l’open source sans licence ou avec une licence personnalisée. Ceci est important car les licences open source personnalisées doivent souvent être examinées pour détecter d’éventuels problèmes de propriété intellectuelle ou des incertitudes juridiques.

Ailleurs, le rapport a montré que 91% des bases de code avaient des dépendances open source sans activité de développement au cours des deux dernières années, contre 88% l’année précédente. Cela peut ne pas être un problème, mais cela signifie que la grande majorité des bases de code, selon les audits de Synopsys, ont une dépendance open source sans nouvelles fonctionnalités récentes, améliorations ou, plus important encore, correctifs de sécurité.

Qu’est-ce que tout cela veut dire? D’une part, les logiciels – open source ou non – peuvent devenir vulnérables si personne n’est derrière le volant. C’est pourquoi la Linux Foundation a créé le L’initiative de l’infrastructure de base (CII) avec le soutien de poids lourds de la technologie tels qu’Amazon, Google, Microsoft, Cisco, IBM et Intel pour prendre en charge les projets open source critiques pour Internet et les périphériques et systèmes associés.

Mais cela signifie aussi Les sociétés commerciales à vocation commerciale peuvent gagner de l’argent Projets open source avec la promesse de fonctions supplémentaires et de sécurité (améliorée). Des entreprises comme Synopsys, WhiteSource, Snyk et Sonatype peuvent créer des entreprises d’un milliard de dollars en aidant les équipes de développement à rester au top de leur pile open source et en s’assurant que les bogues plus importants sont corrigés rapidement.

VentureBeat

La mission de VentureBeat est d’être une place de la ville numérique pour les décideurs technologiques afin d’acquérir des connaissances sur la technologie et les transactions transformatrices. Notre site Web fournit des informations importantes sur les technologies de données et les stratégies pour vous aider à gérer votre entreprise. Nous vous invitons à devenir membre de notre communauté et à accéder:

  • des informations actuelles sur les sujets qui vous intéressent
  • nos newsletters
  • contenu de leader d’opinion fermé et accès à prix réduit à nos événements précieux tels que Transformer 2021: Apprendre encore plus
  • Fonctions réseau et plus

Devenir membre



Source link

Recent Posts