Connectez-vous avec nous

Ordinateurs et informatique

Les failles qui se cachent dans le code open source peuvent conduire à un nouveau Heartbleed

Le fournisseur de tests de sécurité des applications Veracode a découvert qu'après une analyse initiale, sept applications sur dix contiennent une faille de sécurité dans une bibliothèque open source.

Les nouvelles recherches de la société montrent comment l'utilisation de l'open source peut introduire des failles, augmenter les risques et augmenter la dette de sécurité. Pour compiler son nouveau rapport sur l'état de la sécurité des logiciels (SOSS): Open Source Edition, Veracode a analysé les bibliothèques open source des composants dans sa base de données de 85 000 applications, qui représentent 351 000 bibliothèques externes uniques.

Presque toutes les applications modernes et même celles qui sont vendues dans le commerce sont construites à l'aide de certains composants open source. Cependant, une faille unique dans une bibliothèque se répercutera en cascade sur toutes les applications qui exploitent ce code. Dans un communiqué de presse, directeur de la recherche chez Veracode, Chris Eng a expliqué comment l'utilisation de bibliothèques open source peut étendre la surface d'attaque d'une application, en disant:

«Les logiciels open source présentent une variété surprenante de défauts. La surface d'attaque d'une application n'est pas limitée à son propre code et au code des bibliothèques explicitement incluses, car ces bibliothèques ont leurs propres dépendances. En réalité, les développeurs introduisent beaucoup plus de code, mais s'ils connaissent et appliquent les correctifs de manière appropriée, ils peuvent réduire l'exposition aux risques. »

Bibliothèques open source

Selon Veracode, les bibliothèques communément incluses sont présentes dans plus de 75% des applications pour chaque langage de programmation. Les recherches de la société ont également révélé que les bibliothèques défectueuses se retrouvent indirectement dans le code, car 47% d'entre elles trouvées dans les applications sont transitoires et ne sont pas attirées directement par les développeurs mais par les bibliothèques en amont.

Heureusement cependant, les failles introduites par la bibliothèque dans la plupart des applications peuvent être corrigées avec seulement une mise à jour de version mineure car des mises à niveau de bibliothèque majeures ne sont généralement pas requises. Cependant, les développeurs ne peuvent pas compter sur les CVE (Vulnérabilités et Expositions Communes) pour comprendre les défauts des bibliothèques car toutes les bibliothèques n'en ont pas. Par exemple, plus de 61% des bibliothèques défectueuses en JavaScript n'ont pas de CVE correspondantes.

Le rapport a également révélé que certains écosystèmes de langage de programmation ont tendance à attirer beaucoup plus de dépendances transitives que d'autres. Dans plus de 80% des applications JavaScript, Ruby et PHP, la majorité des bibliothèques sont des dépendances transitives.

La sélection du langage de programmation joue également un rôle à la fois en termes de taille de l'écosystème et de prévalence des failles dans ces écosystèmes. Par exemple, l'inclusion d'une bibliothèque PHP donnée a plus de 50% de chances d'apporter une faille de sécurité.

Parmi les dix principaux défauts de l'OWASP, les faiblesses concernant le contrôle d'accès sont les plus courantes et représentent plus de 25% de tous les défauts. Le Cross-Site Scripting (XSS) est la catégorie de vulnérabilité la plus courante dans les bibliothèques open source (30%), suivie d'une désérialisation non sécurisée (23,5%) et d'un contrôle d'accès cassé (20,3%).

Les offres de produits Hi-tech en rapport avec cet article

Continuer la lecture
Cliquez pour commenter

Laissez un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Smartphones et Tablettes16 minutes ago

Samsung honore l’héritage du Note avec le S22 Ultra, c’est une bonne chose.

Gadgets4 heures ago

Le déni du changement climatique sur Facebook, YouTube, Twitter et TikTok est « plus grave que jamais ».

Smartphones et Tablettes4 heures ago

VIDEO : Mobiistar C1 Shine Unboxing &amp ; Review | Nouveau Smartphone

Ordinateurs et informatique22 heures ago

Le GPU phare d’Intel Arc Alchemist pourrait correspondre à Nvidia RTX 3070 Ti

Smartphones et Tablettes22 heures ago

Les photos des composants du Samsung Galaxy A53 5G confirment quatre caméras arrière, un selfie

Ordinateurs et informatique23 heures ago

Toute la gamme Samsung Galaxy Tab S8 vient de fuir sur Amazon

Ordinateurs et informatique1 jour ago

Steam Deck fonctionne « parfaitement » sur près de la moitié des jeux PC testés jusqu’à présent

Internet1 jour ago

Comment activer la navigation privée dans Chrome, Safari, Firefox et Edge

Musique et Audio1 jour ago

Besoin d’une barre de son pas chère ? Alors ne manquez pas cette offre Bose Solo 5

Smartphones et Tablettes1 jour ago

Comment sécuriser vos mots de passe

Ordinateurs et informatique1 jour ago

Comment sécuriser votre maison intelligente

Smartphones et Tablettes1 jour ago

Apple redevient le plus grand vendeur de smartphones au monde

Musique et Audio1 jour ago

Les tout nouveaux AirPods Pro sont réduits à seulement 325 AU $ sur Amazon AU

Ordinateurs et informatique1 jour ago

Meilleure souris de jeu sans fil | Tech Radar

Smartphones et Tablettes1 jour ago

Le Samsung Galaxy A22e 5G obtient la certification Bluetooth

Smartphones et Tablettes2 semaines ago

Test du Samsung Galaxy S21 FE : Verdict anticipé

Smartphones et Tablettes2 semaines ago

Sony détaille la mise à jour Android 12 alors que Xperia 1 III et Xperia 5 III commencent à être déployés

Ordinateurs et informatique4 semaines ago

WP Engine s’empare de Frost, le rend gratuit pour tous

Smartphones et Tablettes2 semaines ago

Le Samsung Galaxy A52s 5G est le dernier modèle à recevoir la mise à jour Android 12 avec One UI 4

Ordinateurs et informatique2 semaines ago

Le processeur AMD Ryzen 7 5800X3D pourrait être en pénurie lors de son lancement

Ordinateurs et informatique3 semaines ago

Shutterfly touché par l’attaque du ransomware Conti

Ordinateurs et informatique4 semaines ago

La RAM DDR5 sera probablement assez chère pendant un certain temps

Internet4 semaines ago

La Russie inflige une amende à Google et Meta enregistre 125 millions de dollars pour du contenu interdit

Smartphones et Tablettes4 semaines ago

Le chargeur USB-C Anker 547 fournit jusqu’à 120 W de puissance tout en vous enseignant les mathématiques

Ordinateurs et informatique4 semaines ago

À quoi s’attendre de Nvidia en 2022

Ordinateurs et informatique3 semaines ago

Que pouvons-nous attendre du casque AR/VR d’Apple en 2022 ?

Smartphones et Tablettes4 semaines ago

VIDEO : UP DÉBALLAGE DU SMARTPHONE | YOGI MOBILE PHONE UNBOXING | YOGI UP GRATUIT SMART PHONE YOJANA UNBOXING REVUE

Smartphones et Tablettes2 semaines ago

Le Samsung Galaxy S21 FE 5G sera lancé en Inde le 10 janvier

Smartphones et Tablettes4 semaines ago

VIDEO : UP Free📱Tablet Unboxing & Full Review || UP Tablette gratuite smartphone deuxième liste || Ballia 2e liste

Smartphones et Tablettes2 semaines ago

Samsung Galaxy S21 FE vs Galaxy S21 : quelle différence ?

ARTICLES POPULAIRES