Le dernier rapport de Veracode sur la sécurité des logiciels open source (SoSS report : Open Source Edition) examine les vulnérabilités des bibliothèques open source utilisées pour la création des applications.
Veracode, premier fournisseur mondial indépendant de solutions de test de sécurité applicative, révèle dans sa nouvelle étude que 7 applications sur 10 présentent une faille de sécurité dans une bibliothèque de logiciels open source au cours de l’analyse initiale. Ce constat souligne ainsi comment le recours à des logiciels libres implique généralement le développement de vulnérabilités, et de facto accroît les risques et la dette de sécurité.
Dans cette perspective, le Veracode State of Software Security (SOSS : Open Source Edition a analysé les composants des bibliothèques open source grâce à la base de données de la plate-forme Veracode, qui compte 85 000 applications et 351 000 bibliothèques externes uniques. Presque toutes les applications modernes, y compris celles vendues sur le marché, sont construites à l’aide de certains composants open source. Mais une seule vulnérabilité présente dans une bibliothèque peut se répercuter sur l’ensemble des applications qui utilisent le même code.
Les principales conclusions du rapport sont donc les suivantes :
- Les bibliothèques open source sont omniprésentes et comportent des risques, mais des correctifs sont disponibles
- Les bibliothèques les plus couramment incluses sont présentes dans plus de 75 % des demandes pour chaque langage de programmation.
- La plupart des bibliothèques défectueuses impactent indirectement le code : 47 % des bibliothèques vulnérables et identifiées dans les applications sont transitives, c’est-à-dire qu’elles ne sont pas directement intégrées par les développeurs, mais par d’autres bibliothèques en amont. Les failles introduites par les bibliothèques dans la plupart des applications peuvent être corrigées avec une simple mise à jour de l’application ; les mises à jour majeures des bibliothèques ne sont généralement pas nécessaires.
- Toutes les bibliothèques ne présentent pas de « Vulnérabilités et expositions communes » (ou CVE), ce qui signifie que les développeurs ne peuvent pas se fier uniquement à celles-ci dans le but de comprendre l’ensemble des failles pouvant être identifiées au sein des bibliothèques. Par exemple, plus de 61 % des bibliothèques défectueuses en JavaScript ne contiennent pas de vulnérabilités CVE.
- Le langage de programmation fait la différence
- Certains écosystèmes linguistiques ont tendance à entraîner un degré de dépendances transitives plus important que d’autres. Dans plus de 80 % des applications JavaScript, Ruby et PHP, la majorité des bibliothèques relèvent de dépendances transitives.
- La sélection du langage de programmation entraine une différence à la fois en termes de taille de l’écosystème et de prévalence des vulnérabilités dans ces écosystèmes. L’inclusion d’une bibliothèque PHP donnée a ainsi plus de 50 % de chances d’entraîner une faille de sécurité.
- Parmi les dix principales failles identifiées par l’OWASP, les faiblesses relatives au contrôle d’accès sont les plus courantes et représentent plus d’un quart de l’ensemble des vulnérabilités recensées. Le « Cross-Site Scripting » est la catégorie de vulnérabilité la plus fréquente dans les bibliothèques open source (touchant 30 % des bibliothèques), suivie par la sérialisation non sécurisée (23,5 %) et le contrôle d’accès défectueux (20,3 %).
Chris Eng, directeur de la recherche chez Veracode, commente ces résultats : « les logiciels open source présentent une variété surprenante de failles. La surface d’attaque d’une application n’est pas limitée à son propre code et à celui des bibliothèques explicitement incluses, car ces bibliothèques ont leurs propres interdépendances. En réalité, si les développeurs sont conscients des menaces et appliquent les correctifs de manière appropriée, ils peuvent réduire l’exposition aux risques ».
Le rapport sur l’état de la sécurité des logiciels open source de Veracode est disponible ici ; et vous trouverez plus d’informations sur le Veracode Software Composition Analysis ici.