Rapport : 96 % des téléchargements open source vulnérables sont évitables

À mesure que la dépendance de l’industrie aux logiciels open source augmente, le nombre d’attaques connues de la chaîne d’approvisionnement des logiciels augmente également, avec une augmentation de 742 % au cours des trois dernières années, selon Sonatype huitième rapport annuel sur l’état de la chaîne d’approvisionnement logicielle. 1,2 milliard de dépendances vulnérables sont téléchargées chaque mois, selon le rapport. Parmi ceux-ci, 96 % disposaient d’une option non vulnérable. Le comportement des consommateurs, et non les responsables de l’open source, est souvent cité dans les discussions publiques comme la cause.

L’une des raisons de cette tendance est l’augmentation et l’évolution des attaques de la chaîne d’approvisionnement logicielle. Le rapport révèle une augmentation de 633 % d’une année sur l’autre des attaques malveillantes visant l’open source dans les référentiels publics – et une augmentation annuelle moyenne de 742 % des attaques de la chaîne d’approvisionnement logicielle depuis 2019.

Alors que les cybercriminels ne sont pas nouveaux, la fréquence, la gravité et la sophistication de ces attaques malveillantes deviennent un problème majeur qui afflige les développeurs et les organisations du monde entier. Les développeurs sont invités à maintenir une connaissance pratique de la qualité des logiciels, des multiples écosystèmes open source, des réglementations fluctuantes et de près de 1 500 changements de dépendance par an, par application, le tout face à des attaques en constante évolution.

Alors qu’est ce qui peut être fait? Minimiser les dépendances et maintenir des temps de mise à jour courts sont des facteurs essentiels pour réduire le risque de vulnérabilités transitives, la source la plus courante de risque de sécurité.

Cependant, la réduction des vulnérabilités ne se limite pas à la sécurité des projets : elle affecte également la satisfaction au travail. Dans une enquête menée auprès de professionnels de l’ingénierie, les personnes issues d’organisations ayant des niveaux de maturité plus élevés de la chaîne d’approvisionnement logicielle étaient 2,7 fois plus susceptibles d’être tout à fait d’accord avec l’énoncé « Je suis satisfait de mon travail ».

Fait intéressant, il existe une nette déconnexion entre les mesures de sécurité en place et ce que les informaticiens pense est passe. Soixante-huit pour cent des personnes interrogées étaient convaincues que leurs applications n’utilisaient pas de bibliothèques vulnérables. Cependant, dans une analyse aléatoire des applications d’entreprise, 68 % avaient des vulnérabilités connues dans leurs composants logiciels open source.

Les responsables informatiques étaient 2,4 fois plus susceptibles que les répondants travaillant dans le domaine de la sécurité de l’information d’être tout à fait d’accord avec « Nous abordons la résolution des problèmes de sécurité dans le cadre régulier du travail de développement ».

Pour innover plus rapidement et se développer à grande échelle, les organisations doivent permettre aux développeurs de créer aussi facilement que possible des logiciels sécurisés et maintenables, ce qui inclut de leur fournir des outils plus intelligents qui offrent plus de visibilité sur leurs systèmes et automatisent leurs processus.

Le huitième rapport annuel de Sonatype sur l’état de la chaîne d’approvisionnement logicielle associe un large éventail de données et d’analyses publiques et propriétaires, notamment 131 milliards de téléchargements Maven Central, les résultats d’enquêtes auprès de 662 professionnels de l’ingénierie et l’évaluation de 85 000 applications d’entreprise.

Lis le rapport complet de Sonatype.