Les auteurs de l'tude ont ensuite expliqu en dtail que 70 % de ce type de logiciels dans l'entreprise taient des logiciels libres et que ces lments ne font gnralement pas l'objet d'un suivi rgulier ni de mises jour ou d'inventaires. Ces lments ne font gnralement pas l'objet d'un suivi rgulier, ni de mises jour ou d'inventaires, ce qui laisse de srieuses vulnrabilits dans la chane d'approvisionnement des logiciels, qui pourraient tre exploites par d'autres acteurs menaants.
Cela fait peine une semaine que la CISA a appel les fournisseurs de logiciels prendre les mesures ncessaires pour mettre en place des processus de dveloppement scuriss qui permettent d'expdier les codes et de garantir des fonctionnalits scurises et prtes l'emploi.
L'entreprise a galement constat un risque norme pour ces grandes solutions open-source aprs avoir pris en considration environ 44 % des projets les plus populaires pour cette fondation. Ils ont alors constat une dpendance de 68 % l'gard de logiciels non-Apache, dont les origines et les schmas de mise jour taient souvent opaques.
Les auteurs estiment que ces rapports constituent un avertissement clair pour les entreprises concernant les logiciels libres et les risques considrables qu'ils comportent. Et ce, en dpit de leur grande popularit et de la prsence de marques bien tablies.
De mme, tant donn que de plus en plus de logiciels sont assembls au lieu d'tre construits, il devient plus important que jamais de crer des outils formels qui dcouvrent l'ADN du logiciel. Les dveloppeurs n'ont donc pas de vision aux rayons X pour voir ce qui se trouve l'intrieur du composant logiciel. De mme, la plupart des slectionneurs de logiciels libres ne sont mme pas des experts en scurit. On ne peut donc qu'imaginer les dgts qui pourraient en rsulter.What exactly is in open-source software? How risky can it be? The below infographic sheds insight into some of Lineaje Data Labs most recent findings for open-source software. Read the report at https://t.co/My4Oc4h0ug. Attending RSA? Come say hi https://t.co/Qy5vDS6gzB pic.twitter.com/lkZWZluB2L
— Lineaje (@Lineaje_Inc) April 18, 2023
Le fait que 64 % de ces vulnrabilits n'aient pas de solution en place l'heure actuelle signifie qu'elles ne peuvent pas tre corriges. Les entreprises doivent donc tre sensibilises au problme et prendre des mesures proactives pour grer ces risques.
D'autre part, cette tude fournit galement des recommandations aux organisations qui dploient des outils pour la gestion de la chane d'approvisionnement. De cette manire, vous pouvez valuer les diffrents risques dynamiques ainsi que l'intgrit des diffrents projets en cours.
Comme vous pouvez le constater, le risque est grand et il appartient aux entreprises de prendre en compte les avertissements avant qu'il ne soit trop tard.
Source : Lineaje
Et vous ?
Trouvez-vous cette tude crdible ? Quel est votre avis sur le sujet ?
Voir aussi :
Les problmes de qualit des logiciels coteraient l'conomie amricaine 2*410 milliards de $ en 2022, contre 1 310 milliards de $ il y a deux ans, selon Synopsys
41 % des entreprises n'ont pas une grande confiance dans la scurit de leurs logiciels open source, leur utilisation gnralise entranant des risques importants
53 % des entreprises vitent les logiciels open source par crainte d'une augmentation des cyberattaques, en l'absence de solutions pour corriger les vulnrabilits et les failles de scurit