Endor Labs publie un rapport sur la gestion des dépendances des logiciels open source

2024-09-13 02:24:46

vectorfusionart/stock.adobe.com

Endor Labs a publié le rapport 2024 sur la gestion des dépendancesqui regroupe des recherches approfondies, originales et de tiers, sur l’état actuel de la sécurité dans le cycle de vie des dépendances logicielles qui représente la base de tout développement d’applications. La recherche est basée sur l’analyse de Laboratoires Endor données de vulnérabilité, la base de données Open-Source Vulnerabilities (OSV) à des fins de comparaison, informations provenant Laboratoires Endor locataires clients et archives Java (JAR) de centaines de versions des 15 principales dépendances open source pour calculer les changements de rupture. Le troisième rapport annuel de Laboratoires Endor révèle que même si les coûts de remédiation des risques de dépendance sont dangereusement élevés, l’analyse de l’accessibilité au niveau des fonctions offre toujours la meilleure valeur dans ce domaine critique.

Principaux points à retenir :

  • Le Laboratoires Endor Le rapport révèle que cela est vrai pour moins de 9,5 % de toutes les vulnérabilités dans les sept langages étudiés : Java, Python, Rust, Go, C#, .NET, Kotlin et Scala. Par conséquent, la réduction du nombre d’activités de correction nécessaires peut réduire les coûts de correction de plus de 90,5 %. Le meilleur de tout est peut-être que cela se fait avec un seul facteur de priorisation, ce qui en fait de loin la stratégie de réduction du bruit la plus précieuse disponible.
  • L’étude met également en lumière la rapidité de réaction aux risques émergents. Elle révèle que près de 70 % des avis de vulnérabilité sont publiés après la publication de la mise à jour de sécurité correspondante, avec un délai médian de 25 jours. Cela augmente la fenêtre d’opportunité existante pour les attaquants d’exploiter les systèmes vulnérables.
  • Les problèmes sont encore plus profonds : sur les six écosystèmes étudiés, 47 % des avis dans les bases de données publiques de vulnérabilités ne contiennent aucune information sur les vulnérabilités au niveau du code ; 51 % contiennent une ou plusieurs références à des correctifs ; et seulement 2 % contiennent des informations sur les fonctions affectées. Il s’agit d’un sérieux inconvénient, car l’application des techniques d’analyse de programme nécessite des informations au niveau du code sur les vulnérabilités, telles que les noms des fonctions affectées ou les correctifs qui ont été développés par les responsables de projets open source pour surmonter une vulnérabilité. Sans ce type d’informations, il est pratiquement impossible de déterminer si des fonctions connues pour être vulnérables peuvent être exécutées dans le contexte d’une application en aval.



#Endor #Labs #publie #rapport #sur #gestion #des #dépendances #des #logiciels #open #source
1726195955

Facebook
Twitter
LinkedIn
Pinterest

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.