Sécurité des applications : les composants open source doivent recevoir plus d’attention de la part des développeurs

composants Open Source et vulnérabilité 29 Mai

Une nouvelle étude menée par CA Veracode (filiale de CA Technolgies) a soulevé l’écart entre l’état de l’existant en matière de sécurité des composants open source et les bonnes pratiques qui restent parfois non concrétisées sur le terrain. Visant à déterminer le niveau de maturité des organisations face à la sécurité des composants applicatifs, l’étude a démontré que près de la moitié des développeurs ne procèdent pas à la mise à jour des composants commerciaux ou open source des applications à la détection d’une nouvelle faille de sécurité.

Chaque nouvelle version d’une application présenterait en moyenne 71 vulnérabilités

Par leur accessibilité et leur diversité, les composants open source occupent une place toujours plus importante dans le développement. Ils boostent la performance des développeurs en optimisant la vitesse et l’efficacité des applications et répondent à certaines exigences économiques en lien avec la compétitivité. L’étude a noté que ces processus de développement sont utilisés par 83% des sondés avec en moyenne 73 composants utilisés pour chaque application. Toutefois, certaines mauvaises pratiques de sécurité en la matière exposent les organisations à de sérieux risques de failles. Ainsi, l’usage des composants tiers expose chaque nouvelle version d’une application à une moyenne de 71 vulnérabilités qui peuvent être aisément neutralisées si la procédure est systématisée.

Des mesures sécuritaires inadaptées

La sécurité reste un des volets les moins « passionnants » pour les développeurs qui préfèrent se focaliser sur le code dans l’ambition d’être reconnus et de gagner en notoriété. L’étude a ainsi noté que seules 28% des entreprises effectuent des analyses régulières au niveau des composants intégrés dans leurs applications, et seulement un développeur sur quatre procède à des tests de vulnérabilité des composants logiciels des nouvelles versions. De plus, 53%  des organismes effectuent un inventaire de tous les composants de leurs applications et 52% des développeurs mettent à jours leurs composants applicatifs à chaque fois qu’une nouvelle faille est dévoilée.

La nécessité de repérer ces défaillances est d’autant plus grande si l’on considère le large éventail des composants utilisés et le nombre de vulnérabilités potentielles de chaque composant. Face à la grande évolution du volume des applications, les équipes de développement ou de sécurité doivent être responsabilisées dans ce sens par le top management pour gérer la maintenance et la sécurisation des composants open source.

Intéressé par les technologies Open Source ? OSS vous invite à découvrir ses cursus d’excellence !