Un rapport Synopsys révèle que la majorité des logiciels sont en proie à des vulnérabilités connues et à des conflits de licences alors que l'adoption de l'open source s'envole

20171108_synopsys_coverityfeat

Les résultats montrent qu'un tiers des bases de code auditées contenant Apache Struts présentaient également la vulnérabilité qui a entraîné la violation d'Equifax.

Singapour, @mcgallen #microwireinfo, 15 mai 2018 - Synopsys, Inc. (Nasdaq: SNPS) a publié aujourd'hui le rapport OSSRA (Open Source Security and Risk Analysis) 2018 de Black Duck by Synopsys, qui examine les résultats des données anonymisées de plus de 1,100 bases de code commerciales auditées en 2017 Les industries représentées dans le rapport comprennent les marchés de l'automobile, du big data, de la cybersécurité, des logiciels d'entreprise, des services financiers, de la santé, de l'Internet des objets (IoT), de la fabrication et des applications mobiles.

Le rapport met en évidence une augmentation massive de l'adoption de l'open source, avec 96% des applications analysées contenant des composants open source. Les données montrent également que le nombre moyen de composants open source trouvés par base de code (257) a augmenté de 75% par rapport à l'année précédente, de nombreuses applications contenant plus de code open source que de code propriétaire. Ce qui est inquiétant, c'est que 78% des bases de code examinées contenaient au moins une vulnérabilité open source, avec une moyenne de 64 vulnérabilités par base de code. Plus de 54% des vulnérabilités trouvées dans les bases de code auditées sont considérées comme des vulnérabilités à haut risque. Dix-sept pour cent des bases de code contenaient une vulnérabilité très médiatisée telle que Heartbleed, Logjam, Freak, Drown ou Poodle.

«Étant donné que les logiciels et l'infrastructure modernes dépendent fortement des technologies open source, avoir une vision claire des composants utilisés est un élément clé de la gouvernance d'entreprise», a déclaré Tim Mackey, évangéliste technique chez Black Duck by Synopsys. «Le rapport démontre clairement qu'avec la croissance de l'utilisation de l'open source, les organisations doivent s'assurer qu'elles disposent des outils pour détecter les vulnérabilités dans les composants open source et gérer la conformité des licences que leur utilisation de l'open source peut exiger.»

Des composants open source vulnérables ont été trouvés dans des applications de tous les secteurs. Le secteur vertical d'Internet et de l'infrastructure logicielle présentait la proportion la plus élevée (67%) d'applications contenant des vulnérabilités open source à haut risque. Ironiquement, 41% des applications du secteur de la cybersécurité présentaient des vulnérabilités open source à haut risque, plaçant cette verticale au quatrième rang de risque.

En outre, 33% des bases de code auditées contenant Apache Struts contenaient également la vulnérabilité qui a entraîné la violation d'Equifax. Le rapport montre clairement que les organisations permettent à un nombre croissant de vulnérabilités de s'accumuler dans leurs bases de code. En moyenne, les vulnérabilités identifiées lors des audits ont été révélées il y a près de six ans.

«Lorsqu'Equifax a été violée par la vulnérabilité Apache Struts, le besoin de gestion de la sécurité open source est devenu une des journaux», a déclaré Evan Klein, responsable du marketing produit chez Black Duck responsable du rapport OSSRA. «Pourtant, même si cela a été divulgué en mars 2017, de nombreuses organisations n'ont apparemment toujours pas vérifié leurs applications pour la vulnérabilité Struts.»

Sur la base des résultats, 74% des bases de code auditées contenaient également des composants avec des conflits de licence, dont les plus courants étaient des violations de licence GPL. Le pourcentage d'applications avec des conflits de licence dans les secteurs verticaux allait du faible relatif de l'industrie de la vente au détail et du commerce électronique (61%) au plus élevé de l'industrie des télécommunications et du sans fil, où 100% du code numérisé présentait une forme de conflit de licence open source.

Pour télécharger le rapport OSSRA, visitez https://www.blackducksoftware.com/open-source-security-risk-analysis-2018.

À propos de la plateforme d'intégrité logicielle Synopsys
Synopsys Software Integrity Group aide les organisations à créer des logiciels sécurisés de haute qualité, minimisant les risques tout en maximisant la vitesse et la productivité. Synopsys, un leader reconnu de la sécurité des applications, fournit des solutions d'analyse statique, d'analyse de composition logicielle et d'analyse dynamique qui permettent aux équipes de trouver et de corriger rapidement les vulnérabilités et les défauts dans le code propriétaire, les composants open source et le comportement des applications. Avec une combinaison d'outils, de services et d'expertise de pointe, seul Synopsys aide les organisations à maximiser la sécurité et la qualité dans DevSecOps et tout au long du cycle de vie du développement logiciel. En savoir plus sur www.synopsys.com/software.

À propos de Synopsys
Synopsys, Inc. (Nasdaq: SNPS) est le partenaire Silicon to Software ™ pour les entreprises innovantes développant les produits électroniques et les applications logicielles sur lesquelles nous comptons chaque jour. En tant que 15e plus grand éditeur de logiciels au monde, Synopsys est depuis longtemps un leader mondial de l'automatisation de la conception électronique (EDA) et de la propriété intellectuelle des semi-conducteurs et renforce également son leadership dans les solutions de sécurité et de qualité logicielles. Que vous soyez un concepteur de système sur puce (SoC) créant des semi-conducteurs avancés ou un développeur de logiciels écrivant des applications qui nécessitent la sécurité et la qualité les plus élevées, Synopsys a les solutions nécessaires pour fournir des produits innovants, de haute qualité et sécurisés. En savoir plus sur www.synopsys.com.

###