L’épée à double tranchant des logiciels open source

Le manque de visibilité sur la chaîne d’approvisionnement des logiciels crée un cycle insoutenable de découverte de vulnérabilités et de faiblesses dans les logiciels et les systèmes informatiques, accablant les organisations, selon Lineaje.

Diversité et complexité de la communauté open source

Lineaje Data Labs a analysé 41 989 composants open source intégrés dans les 44 projets les plus populaires d’Apache Software Foundation dans ses trois dernières versions. L’analyse a révélé que 68 % des dépendances concernent des projets open source non Apache Software Foundation.

Ces dépendances rendent même l’intégrité et le risque inhérent d’Apache Software Foundation aussi forts que le composant le plus faible qu’il intègre. Les dépendances directes ne représentant que 10 %, les 90 % restants sont des dépendances transitives, qui ne sont pas facilement visibles pour les développeurs qui sélectionnent ces packages. Cela crée une chaîne d’approvisionnement logicielle opaque et profonde, invisible pour les développeurs.

« Il est fascinant de noter que bien qu’Apache soit un important contributeur aux logiciels open source, une bonne partie des logiciels sur lesquels il s’appuie n’appartient pas à Apache Software Foundation. Cela met en évidence l’incroyable diversité et la complexité de la communauté open source », a déclaré Manish Gaurresponsable de la sécurité des produits chez VMware après avoir examiné le rapport de recherche.

Choisir les dépendances en fonction de leur popularité

Risque inhérent extrêmement élevé – 82% des composants sont intrinsèquement risqués en raison de vulnérabilités, de problèmes de sécurité, de qualité de code ou de problèmes de maintenabilité.

La popularité d’un logiciel n’est pas synonyme de qualité – Ainsi, choisir des dépendances en fonction de leur popularité n’est pas une approche fiable d’atténuation des risques. eCharts d’Apache Software Foundation est son package le plus populaire et l’un des plus risqués, par exemple.

Le mirage des correctifs de vulnérabilités – Alors que les organisations se noient dans une mer de correctifs qu’elles doivent appliquer, la recherche révèle que 64,2% de toutes les vulnérabilités n’ont pas encore de correctifs disponibles – elles ne peuvent donc pas être corrigées.

Dans le même temps, en raison de la nature transitive profonde des dépendances, 25,8 % supplémentaires de toutes les vulnérabilités ne peuvent pas être corrigées par l’organisation qui déploie ou inclut des logiciels open source. En effet, une correction complète, si elle est réalisée, ne résout qu’environ 10 % de l’exposition aux vulnérabilités d’une organisation.

La détection de la falsification est vitale pour maintenir l’intégrité du logiciel

Il est crucial de noter que le risque le plus important ne réside pas dans les vulnérabilités qui ne sont pas corrigées, mais dans celles pour lesquelles aucun correctif n’existe. Ces vulnérabilités continuent d’exister et constituent une menace persistante, quels que soient les autres correctifs appliqués.

La capacité à détecter la falsification de la chaîne d’approvisionnement logicielle est directement liée à l’intégrité du logiciel. Sur les dizaines de milliers de projets open source décomposés par Lineaje Data Labs, les résultats ont montré :

• Composants inconnus – Alors que la majorité des logiciels évalués avaient des composants attestables à haute intégrité, nos recherches révèlent qu’environ 3 % de tous les composants n’avaient pas d’origine connue. Ceux-ci sont profondément intégrés dans le logiciel Apache Software Foundation, et leurs mécanismes d’origine et de mise à jour sont opaques.
• Composants d’origine douteuse – 5,3% des composants ont échoué à une vérification d’intégrité de base indiquant que le package publié par les développeurs correspondait au code source auquel il prétendait être associé. Ce type de contrôle d’intégrité aurait signalé à la fois le récent compromis 3CX et le compromis SolarWinds.

“Il est impératif que les organisations comprennent aujourd’hui que les logiciels open source comportent des risques et sont inviolables, même s’ils sont très populaires ou fournis par une marque établie”, a déclaré le PDG de Lineaje. Javed Hassan.

« Avec plus de logiciels assemblés que construits, il est devenu plus important que jamais de disposer d’outils formels pour découvrir l’ADN logiciel. Les développeurs n’ont pas de vision à rayons X pour voir à l’intérieur d’un composant logiciel qu’ils incluent, pas plus que la plupart des experts en sécurité des sélecteurs open source. Nous devons utiliser des outils de gestion de la chaîne d’approvisionnement logicielle comme SBOM360 pour évaluer en permanence le risque dynamique et inhérent et l’intégrité de ces composants logiciels qui sont construits à gauche ou à gauche », a conclu Hasan.