De nouvelles recherches de RiskSense ont révélé que le nombre de failles de sécurité dans les logiciels open source a plus que doublé l'année dernière.
Pour compiler son nouveau rapport intitulé «La sombre réalité de l'open source», La firme a utilisé les données de 54 projets open source remontant à 2015 jusqu'aux trois premiers mois de 2020 pour découvrir un total de 2 694 vulnérabilités et expositions communes (CVE).
Le rapport de RiskSense a révélé que le nombre total de vulnérabilités dans les logiciels open source a atteint 968 l'an dernier, soit une augmentation de plus de 50% par rapport aux 421 CVE détectées en 2018. communiqué de presse, PDG de RiskSense, Srinivas Mukkamala a fourni un aperçu des conclusions du rapport, en disant:
«Alors que le code open source est souvent considéré comme plus sécurisé que les logiciels commerciaux, car il subit des examens participatifs pour trouver des problèmes, cette étude montre que les vulnérabilités OSS sont en augmentation et peuvent être un angle mort pour de nombreuses organisations. Étant donné que l'open source est utilisé et réutilisé partout aujourd'hui, lorsque des vulnérabilités sont détectées, elles peuvent avoir des conséquences d'une portée considérable. »
Sommaire
Vulnérabilités des logiciels open source
L'étude de RiskSense a également révélé combien de temps il faut pour que les vulnérabilités des logiciels open source soient ajoutées à la National Vulnerability Database (NVD). En moyenne, il faut 54 jours à partir d'une vulnérabilité révélée publiquement pour qu'elle soit incluse dans le NVD.
Ce retard a de graves conséquences pour les entreprises car elles peuvent rester exposées à de graves risques de sécurité des applications pendant près de deux mois. Ces retards ont également été observés dans toutes les gravités, y compris les vulnérabilités jugées critiques et celles qui étaient activement exploitées dans la nature.
Parmi les projets open source analysés dans le rapport, le serveur d'automatisation Jenkins avait le plus de CVE avec 646, suivi de près par MySQL avec 624. Ces deux projets étaient également à égalité pour les vulnérabilités les plus militarisées avec 15 chacun.
En ce qui concerne l'armement, les faiblesses des scripts intersites (XSS) et de la validation des entrées étaient à la fois parmi les types de vulnérabilités les plus courantes et les plus militarisées dans l'étude de RiskSense. Les problèmes XSS étaient le deuxième type de vulnérabilité le plus courant, mais ils étaient les plus armés, tandis que les problèmes de validation des entrées étaient le troisième plus courant et le deuxième le plus armé.
L'utilisation d'un logiciel open source présente de nombreux avantages, bien que le rapport de RiskSense montre que la gestion des vulnérabilités dans leurs bibliothèques peut poser des défis uniques aux entreprises et aux développeurs.
