Publié le

Note de l'éditeur: Les logiciels Open Source (OSS) ne concernent pas seulement l'adoption gratuite de ces logiciels, mais également l'énorme travail de qualité accompli par des codeurs et auditeurs bénévoles dans le monde, créant de bons logiciels et composants de code que tout le monde peut adopter. Selon le dernier rapport OSSRA (Open Source Security and Risk Analysis) 2021 du Synopsys Cybersecurity Research Center (CyRC), de nombreuses industries adoptent largement et profondément les logiciels libres, notamment la martech, la santé, les services financiers, la fintech, la vente au détail et le commerce électronique. Quels sont alors les risques liés à l'adoption du logiciel libre? La version du fournisseur est ci-dessous.

Une étude Synopsys montre une augmentation des composants Open Source vulnérables, obsolètes et abandonnés dans les logiciels commerciaux 

L'analyse de plus de 1,500 bases de code commerciales révèle que les problèmes de sécurité open source, de conformité des licences et de maintenance sont omniprésents dans tous les secteurs industriels

SINGAPOUR, @mcgallen #microwireinfo, 14 avril 2021 - Synopsys, Inc. (Nasdaq : SNPS) a publié aujourd'hui le Analyse de la sécurité et des risques Open Source 2021 (OSSRA) rapport. Le rapport, produit par le Centre de recherche sur la cybersécurité Synopsys (CyRC), examine les résultats de plus de 1,500 XNUMX audits de bases de codes commerciaux, réalisés par l'équipe Black Duck® Audit Services. Le rapport met en évidence les tendances de l'utilisation de l'open source dans les applications commerciales et fournit des informations pour aider les développeurs commerciaux et open source à mieux comprendre l'écosystème logiciel interconnecté dont ils font partie. Il détaille également les risques omniprésents posés par l'open source non gérée, y compris les vulnérabilités de sécurité, les composants obsolètes ou abandonnés et les problèmes de conformité des licences.

Le rapport OSSRA 2021 affirme que les logiciels open source constituent la base de la grande majorité des applications dans tous les secteurs. Cela montre également que ces industries, à des degrés divers, ont du mal à gérer le risque open source.

  • 100% des entreprises auditées dans le secteur de l'industrie des technologies marketing - qui comprend la génération de leads CRM et les médias sociaux - contenaient de l'open source dans leurs bases de code. 95% des bases de code de technologie marketing contenaient des vulnérabilités open source.
  • 98% des bases de code du secteur de la santé contenaient de l'open source. 67% de ces bases de code contenaient des vulnérabilités.
  • 97% des bases de code du secteur des services financiers / fintech contenaient de l'open source. Plus de 60% de ces bases de code contenaient des vulnérabilités.
  • 92% des bases de code du secteur de la vente au détail et du commerce électronique contenaient de l'open source, et 71% des bases de code de ce secteur contenaient des vulnérabilités.

L'utilisation généralisée de composants open source abandonnés est encore plus préoccupante. Un nombre alarmant de 91% des bases de code contenaient des dépendances open source qui n'avaient eu aucune activité de développement au cours des deux dernières années - ce qui signifie aucune amélioration du code et aucun correctif de sécurité.

«Le fait que plus de 90% des bases de code aient utilisé l'open source sans activité de développement au cours des deux dernières années n'est pas surprenant», a déclaré Tim Mackey, principal stratège en sécurité au Synopsys Cybersecurity Research Center. «Contrairement aux logiciels commerciaux, où les fournisseurs peuvent transmettre des informations à leurs utilisateurs, l'open source repose sur l'engagement de la communauté pour prospérer. Lorsqu'un composant open source est adopté dans une offre commerciale sans cet engagement, la vitalité du projet peut facilement diminuer. Les projets orphelins ne sont pas un problème nouveau, mais lorsqu'ils se produisent, la résolution des problèmes de sécurité devient encore plus difficile. La solution est simple: investissez dans le soutien des projets dont vous dépendez pour votre succès. »

Les autres tendances de risque open source identifiées dans le rapport OSSRA 2021 comprennent:

  • Les composants open source obsolètes dans les logiciels commerciaux sont la norme. 85% des bases de code contenaient des dépendances open source qui étaient obsolètes depuis plus de quatre ans. Contrairement aux projets abandonnés, ces composants open source obsolètes ont des communautés de développeurs actives qui publient des mises à jour et des correctifs de sécurité qui ne sont pas appliqués par leurs consommateurs commerciaux en aval. Au-delà des implications de sécurité évidentes de la négligence d'appliquer les correctifs, l'utilisation de composants open source obsolètes peut contribuer à une dette technique lourde sous la forme de problèmes de fonctionnalité et de compatibilité associés aux futures mises à jour.
  • La prévalence des vulnérabilités open source va dans la mauvaise direction. En 2020, le pourcentage de bases de code contenant des composants open source vulnérables est passé à 84% - une augmentation de 9% par rapport à 2019. De même, le pourcentage de bases de code contenant des vulnérabilités à haut risque est passé de 49% à 60%. Plusieurs des 10 principales vulnérabilités open source trouvées dans les bases de code en 2019 sont réapparues dans les audits de 2020, toutes avec des augmentations de pourcentage significatives.
  • Plus de 90% des bases de code auditées contenaient des composants open source avec des conflits de licence, des licences personnalisées ou aucune licence du tout. 65% des bases de code auditées en 2020 contenaient des conflits de licences de logiciels open source, impliquant généralement la licence publique générale GNU. 26% des bases de code utilisaient l'open source sans licence ou avec une licence personnalisée. Les trois questions doivent souvent être évaluées pour une éventuelle violation de la propriété intellectuelle et d'autres problèmes juridiques, en particulier dans le contexte des opérations de fusion et d'acquisition.

Pour en savoir plus sur les risques potentiels associés aux logiciels open source et comment y faire face, téléchargez une copie du Rapport OSSRA 2021, lis le article de ce blog, ou inscrivez-vous au 21 avril webinaire.

À propos du groupe d'intégrité logicielle de Synopsys

Synopsys Software Integrity Group aide les équipes de développement à créer des logiciels sécurisés et de haute qualité, minimisant les risques tout en maximisant la vitesse et la productivité. Synopsys, leader reconnu de la sécurité des applications, fournit des solutions d'analyse statique, d'analyse de composition logicielle et d'analyse dynamique qui permettent aux équipes de trouver et de corriger rapidement les vulnérabilités et les défauts du code propriétaire, des composants open source et du comportement des applications. Avec une combinaison d'outils, de services et d'expertise de pointe, seul Synopsys aide les organisations à optimiser la sécurité et la qualité dans DevSecOps et tout au long du cycle de vie du développement logiciel. En savoir plus sur synopsy.com/software.

À propos de Synopsys

Synopsys, Inc. (Nasdaq: SNPS) est le partenaire Silicon to Software ™ des entreprises innovantes développant les produits électroniques et les applications logicielles sur lesquelles nous nous appuyons chaque jour. En tant que 15e plus grand éditeur de logiciels au monde, Synopsys est depuis longtemps un leader mondial de l'automatisation de la conception électronique (EDA) et de la propriété intellectuelle des semi-conducteurs et renforce également son leadership dans les solutions de sécurité et de qualité logicielles. Que vous soyez un concepteur de système sur puce (SoC) créant des semi-conducteurs avancés ou un développeur de logiciels écrivant des applications qui nécessitent la sécurité et la qualité les plus élevées, Synopsys dispose des solutions nécessaires pour fournir des produits innovants, de haute qualité et sécurisés. En savoir plus sur synopsys.com.

###