Un nouveau rapport basé sur les données de plus de 100 projets d'audit open source menés en 2021 révèle que les entreprises ne connaissent que 17 % des composants open source qu'elles utilisent, soit une augmentation de seulement 4 % l'année dernière. Le rapport 2022 sur l'état de la chaîne logistique logicielle de Revenera montre également que les risques augmentent.
Le nombre de problèmes les plus graves, de niveau de priorité P1, a augmenté de 6 % par rapport aux résultats de l'année dernière. En revanche, les problèmes de moindre priorité ont fait un bond, les problèmes de priorité secondaire (P2) et les problèmes les moins risqués (P3) ont augmenté respectivement de 50 % et de 34 % au cours de l'année dernière. Cela indique la prévalence croissante des logiciels open source et le fait que le nombre moyen de dépendances augmente de manière significative dans les écosystèmes populaires, élargissant ainsi la surface de risque.
"Les entreprises ont compris qu'elles devaient sécuriser la chaîne d'approvisionnement des logiciels, qui est attaquée, comme en témoignent les vulnérabilités telles que Log4Shell. Tout indique que les mauvais acteurs vont intensifier leurs exploits au cours de l'année à venir", déclare Alex Rybak, directeur de la gestion des produits chez Revenera. "L'utilisation de contenus tiers et de logiciels open source va continuer à augmenter. Les organisations qui investissent dans des politiques à l'échelle de l'entreprise, des évaluations continues, des solutions d'analyse de la composition des logiciels et des programmes de conformité d'entreprise sont les mieux à même de répondre rapidement aux risques et aux demandes des clients."
La demande de nomenclatures logicielles (SBOM) augmente également, sous l'impulsion d'un éventail de plus en plus large de parties prenantes et d'exigences réglementaires, telles que le décret du gouvernement américain sur l'amélioration de la cybersécurité de la nation. Le nombre d'éléments d'un SBOM augmente également. L'équipe d'audit de Revenera a identifié 12 % d'éléments supplémentaires en 2021, avec 2 200 éléments découverts par projet d'audit, contre 1 959 en 2020. De plus, elle a découvert un nouveau problème pour 11 500 lignes de code analysées, soit une augmentation de 5 % par rapport à 2020.
Le rapport révèle également une augmentation de sept pour cent des binaires par rapport à 2020. Par rapport au code source, les binaires sont plus complexes, combinant souvent des PI provenant de plusieurs sources et utilisant de nombreux fichiers constitutifs.
Source : Revenera
Et vous ?
Pensez-vous que ce rapport est pertinent ?
Qu'en est-il au sein de votre entreprise ?
Voir aussi :
L'adoption des DevSecOps se poursuit dans le monde entier malgré les problèmes de sécurité, d'après une étude menée conjointement par Synospys, centre de recherche sur la cybersécurité, et Censuswide
Les développeurs de cloud d'entreprise pensent que l'open source sera la clé de l'avenir de leurs organisations, pour relancer leur croissance après la pandémie, d'après Aiven
Log4j : une entreprise du Fortune 500 exige des réponses rapides et gratuites du créateur de cURL, qui leur a indiqué qu'il le ferait « dès que nous aurons signé un contrat de support »
Les entreprises ne connaissent que 17 % de leurs composants open source, soit une augmentation de seulement 4 % l'année dernière
Le rapport montre également que les risques augmentent
Les entreprises ne connaissent que 17 % de leurs composants open source, soit une augmentation de seulement 4 % l'année dernière
Le rapport montre également que les risques augmentent
Le , par Sandra Coret
Une erreur dans cette actualité ? Signalez-nous-la !