Pourquoi les bibliothèques de code open source sont-elles une menace?
Les bibliothèques de code open source intégrées par les développeurs ne sont dans la plupart des cas jamais mises à jour, alerte une étude de Veracode. En cause: un manque de ressources et d'informations. Voire une négligence au niveau des processus de sélection de ces bibliothèques tierces.
La sécurité des outils et logiciels open source est au cœur des préoccupations en matière de cyberattaque. D'autant plus à l’ère du développement cloud et de l’interdépendance de codes conçus avec de multiples briques provenant des innombrables bibliothèques de langage de programmation et autres frameworks open source. On le sait, ces composants cachent fréquemment des vulnérabilités, entre bouts de code devenus obsolètes et – encore plus inquiétant – correctifs non appliqués. Ces failles sont également ciblées dans le cadre d'attaques à la supply-chain logicielle, en particulier les systèmes d’exploitation open source.
En dépit des dangers connus de l’intégration de bibliothèques tierces, la plupart des développeurs font preuve de négligences en la matière, selon une étude publiée par l’éditeur Veracode, spécialisé dans les tests de sécurité logicielle pour les approches DevOps. Une fois intégrées, plus de trois-quart de ces bibliothèques open source ne sont jamais mises à jour. Et quand elles le sont, c’est souvent après un trop long délai: pour la moitié d’entre elles, la mise à jour sera réalisée après plus de 21 mois, et pour un quart, seulement après quatre ans.
Pas de procédure clairement établie et sécurité non prioritaire
Il apparaît que les négligences surviennent déjà en amont de l’intégration. Car une fois sur deux, les développeurs ne suivent pas de procédure clairement établie de sélection des bibliothèques tierces. Et quand ils le font, les questions de sécurité ne sont pas systématiquement prises en compte. Les fonctionnalités et les spécificités d'octroi des licences sont des critères de sélection davantage considérés que l'aspect cyber-sécuritaire. L’enquête de Veracode montre pourtant que prendre systématiquement en compte la sécurité dans le choix d’une bibliothèque tierce permet de diminuer la présence de failles dans les codes intégrés par les développeurs.
Réaction en cas de vulnérabilités avérées
Bien que la nette majorité des bibliothèques open source ne soient que trop rarement mises à jour, les développeurs se montrent toutefois moins négligents dans le cas de vulnérabilités identifiées. En effet, la moitié des bibliothèques sont corrigées dans les trois mois suivant le scan du code ayant révélé une faille. Dans près de 20% des cas, le correctif est appliqué dans l’heure.
Freins à l'application de mises à jour
Pour quelles raisons les développeurs ne mettent pas à jour les bibliothèques tierces ou tardent à le faire? L’étude de Veracode indique que la majorité des équipes concernées manquent rarement (voire jamais) de compétences pour appliquer des correctifs. Les freins sont plutôt un manque de ressources et d’informations disponibles pour corriger les failles. Souci supplémentaire: les développeurs craignent souvent que l'application d’un correctif provoque le dysfonctionnement des applications concernées. Une crainte exagérée, car «même lorsqu'une mise à jour d'une bibliothèque open source entraîne des mises à jour supplémentaires, près des deux tiers d'entre elles ne constituent qu'un changement de version mineur et il est peu probable qu'elles brisent la fonctionnalité des applications les plus complexes», soulignent les auteurs de l'étude.