Alors que les entreprises dépendent de plus en plus des logiciels libres et open source (FOSS), des risques inutiles pour leur sécurité sont pris.
Un rapport (s’ouvre dans un nouvel onglet) de la société de sécurité de la chaîne d’approvisionnement en logiciels Sonatype brosse un tableau désastreux des types de logiciels open source sur lesquels les entreprises s’appuient, peut-être comme un moyen de réduire les coûts des logiciels.
Son rapport sur l’état de la chaîne d’approvisionnement logicielle a révélé que les développeurs téléchargent 1,2 milliard de dépendances vulnérables chaque mois, et sur ce nombre, 96 % ont eu une alternative non vulnérable.
Une recrudescence des attaques de la chaîne d’approvisionnement OSS
Attaquer des référentiels open source qui sont ensuite téléchargés et intégrés dans des logiciels d’entreprise est un exemple clair de cyberattaque de la chaîne d’approvisionnement.
Avec quelque 1 500 changements de dépendances par application chaque année, la maintenance des écosystèmes open source met une forte pression sur les développeurs, et des erreurs seront toujours commises.
Peut-être en conséquence, Sonatype rapporte que ce type de cyberactivité a connu une augmentation massive, augmentant de 633 % d’une année sur l’autre.
Cependant, il pense qu’il existe une solution : principalement, minimiser les dépendances et accélérer les mises à jour logicielles sur les terminaux. Il recommande également de sensibiliser les professionnels de l’ingénierie aux dépendances FOSS vulnérables.
Sonatype a constaté que plus des deux tiers (68 %) étaient convaincus que leurs applications n’utilisaient pas de bibliothèques vulnérables, malgré le fait que le même pourcentage d’applications d’entreprise – 68 % – contenait des vulnérabilités connues dans leurs composants logiciels open source.
De plus, les responsables informatiques étaient plus de deux fois plus susceptibles de croire que leurs entreprises traitent régulièrement les problèmes logiciels pendant la phase de développement que leurs homologues de la sécurité informatique.
Pour Sonatype, les entreprises doivent simplifier et optimiser le processus de développement logiciel avec des outils plus intelligents, plus de visibilité et une meilleure automatisation.
Les attaques de la chaîne d’approvisionnement ont été parmi les cyber-incidents les plus dévastateurs de ces dernières années, y compris les incidents basés sur la vulnérabilité log4j et la compromission de SolarWinds. Aujourd’hui encore, les cybercriminels compromettent des organisations de toutes formes et tailles en utilisant la faille log4j.
Via : VentureBeat (s’ouvre dans un nouvel onglet)