GitHub: les vulnérabilités Open Source peuvent ne pas être détectées pendant quatre ans

github office


Détecter et identifier vulnérabilités dans les logiciels open source peut prendre jusqu'à quatre ans, selon GitHub État annuel de la Rapport Octoverse.

La recherche, qui a examiné les efforts de plus de 56 millions de développeurs dans le monde pour créer plus de 60 millions de référentiels au cours des 12 derniers mois, a révélé qu'une fois les failles identifiées, le mainteneur du paquet et la communauté de sécurité génèrent et publient généralement un correctif en 4,4 semaines.

Les auteurs du rapport ont déclaré que cela mettait en évidence les possibilités d’améliorer la détection des vulnérabilités dans la communauté de la sécurité.

«De nombreux services et technologies sur lesquels nous comptons tous, de la banque aux soins de santé, reposent également sur des logiciels open source. Les artefacts du code open source servent d'infrastructure critique pour une grande partie de l'économie mondiale, rendant la sécurité des logiciels open source vitale pour le monde », indique le rapport.

L'étude a révélé que 94% des projets avaient des dépendances open source écrites en JavaScript, tandis que Ruby et .Net étaient proches deuxième et troisième à 90,2% et 89,8%, respectivement.

GitHub a également constaté que la plupart des vulnérabilités logicielles sont des erreurs et non des attaques malveillantes. Une analyse d'un échantillon aléatoire de 521 avis provenant de six écosystèmes a révélé que 17% des avis provenaient d'un comportement explicitement malveillant, comme des tentatives de porte dérobée. Les 83% de vulnérabilités restantes étaient dues à des erreurs.

«Ces vulnérabilités malveillantes se trouvaient généralement dans des packages rarement utilisés mais n'ont déclenché que 0,2% des alertes. Alors que les attaques malveillantes sont plus susceptibles d'attirer l'attention des cercles de sécurité, la plupart des vulnérabilités sont causées par des erreurs », indique le rapport.

Ressource connexe

Guide de l'acheteur sur les services de détection et de réponse gérés (MDR)

Simplifier et renforcer votre programme de sécurité grâce à l'externalisation

Télécharger maintenant

Le rapport a exhorté les développeurs à utiliser l'automatisation pour corriger les vulnérabilités et rester en sécurité.

«L'utilisation d'outils d'alertes et de correctifs automatisés pour sécuriser rapidement les logiciels signifie que les surfaces d'attaque évoluent, ce qui rend plus difficile à exploiter pour les attaquants», ont déclaré les auteurs du rapport.

«Les référentiels qui génèrent automatiquement des pull requests pour mettre à jour les dépendances vulnérables corrigent leur logiciel 1,4 fois plus rapidement que ceux qui ne le font pas. L'automatisation des pratiques de sécurité aide votre équipe à sécuriser votre code alors que les développeurs partagent leur expertise avec leur communauté, suppriment les silos de sécurité et d'ingénierie et évoluent leur expertise. "

Phil Odence, directeur général de Black Duck On-Demand chez Synopsys, a déclaré ITPro que le principal avantage ici est une quantité importante d'open source dans pratiquement toutes les applications modernes utilisées aujourd'hui, les entreprises doivent donc suivre et gérer le code pour assurer la sécurité de ces applications.

«Le rapport se concentre sur la sécurité et ne se penche donc pas sur les risques juridiques associés aux licences; cependant, bien qu'ils soient «gratuits», les logiciels open source ne diffèrent pas des autres logiciels en ce que leur utilisation est régie par une licence.

"D'après les recherches menées pour le rapport OSSRA 2020, 68% des bases de code contenaient une forme de conflit de licence open-source, et 33% contenaient des composants open-source sans licence identifiable. C'est une autre façon dont l'open source peut amener les organisations l'eau chaude, et doit donc être gérée et non négligée », a-t-il déclaré.

Ressources en vedette

Cinq façons dont les formulaires ruinent votre expérience client et nuisent à vos résultats

Attirer les clients en repensant la collecte et le traitement des données

Télécharger maintenant

Naviguer dans la nouvelle normalité: un guide rapide du travail à distance

Une transition en douceur soutiendra les opérations pour les années à venir

Télécharger maintenant

Choix du consommateur et expérience de paiement

Un guide du fournisseur de logiciels pour attirer, développer et fidéliser des clients

Télécharger maintenant

Le guide définitif pour choisir le bon contrôleur de livraison d'applications

Considérations clés pour un ADC

Télécharger maintenant



Source link

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *