La façon même dont les logiciels open source fonctionnent, fait en sorte que beaucoup de leurs composants contiennent des failles bien connues. Cela ne constitue pas toujours un problème, mais le risque est cependant difficile à estimer.
Quelque 32 pour cent de tous les logiciels open source renferment dans leur plus récente version des points faibles connus. Voilà ce que signale un rapport de la startup Endor Labs que Data News a pu consulter. L’entreprise est spécialisée dans la protection des logiciels open source et de leur chaîne d’approvisionnement.
La jeune pousse a testé 1.833 logiciels, principalement sur base du Census II, un rapport qui passe en revue les logiciels open source les plus populaires et leurs composants.
Il s’agit rarement de failles dans le produit final même. 95 pour cent des bugs se trouvent dans ce qu’on appelle les dépendances transitives, à savoir du software ou du code indirectement impliqué dans le produit final. Les logiciels (open source) exploitent souvent des composants déjà créés.
C’est le cas, lorsqu’on souhaite montrer dans un logiciel la date ou l’heure exacte de l’ajout d’un fragment de code existant plutôt que qu’auto-développé. Un exemple connu fut Log4j, un fragment de code sur base de Java que quasiment personne ne connaissait, mais qui est intégré dans de nombreux logiciels. Lorsqu’une brèche fut découverte dans Log4J, nombre d’applications et de systèmes se sont avérés ainsi vulnérables.
Selon Endor Labs, il est quasiment impossible pour les développeurs de contrôler tout, parce qu’il est souvent question de centaines de composants, eux-mêmes parfois constitués d’autres éléments. La jeune pousse apporte cependant la nuance, selon laquelle cela n’implique pas toujours un risque. Il peut ainsi être parfaitement possible que ce genre de composant contienne un bug, mais que la portion qui le contient, ne soit pas utilisée ou que le code ne soit pas accessible ou exploitable de l’extérieur. Il s’avère par conséquent malaisé d’évaluer correctement le risque précis.
Le rapport indique en outre que cinquante pour cent des logiciels open source les plus populaires n’ont pas reçu de nouvelle version en 2022. Pour trente pour cent d’entre eux, cela n’est même plus arrivé depuis 2018. Même si les mises à jour comportent également un risque que tout ne reste pas compatible, prévient la startup.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici