Acheter Fire TV Stick avec télécommande vocale Alexa

70% des applications mobiles et de bureau contiennent des bugs open source

Selon les chercheurs, un manque de sensibilisation sur l’endroit et la façon dont les bibliothèques open source sont utilisées est problématique.

Aujourd’hui, 70% des applications utilisées présentent au moins une faille de sécurité résultant de l’utilisation d’une bibliothèque open source.

Selon l’état annuel de la sécurité des logiciels de Veracode rapport,ces bibliothèques open source – référentiels de code centralisés gratuits qui fournissent des «blocs de construction» d’application prêts à l’emploi pour les développeurs – sont non seulement omniprésents mais aussi risqués.

L’analyse a examiné 351 000 bibliothèques externes dans 85 000 applications et a constaté que les bibliothèques open source sont extrêmement, extrêmement courantes. Par exemple, la plupart des applications JavaScript contiennent des centaines de bibliothèques open source – certaines ont plus de 1 000 bibliothèques différentes. De plus, la plupart des langues proposent le même ensemble de bibliothèques principales.

 

« JavaScript et PHP en particulier ont plusieurs bibliothèques de base qui se trouvent dans presque toutes les applications », selon le rapport.

Ces bibliothèques, comme d’autres logiciels, comportent des bogues. Le problème est que grâce à la réutilisation du code, un seul bogue peut affecter des centaines d’applications.

«Présentes dans presque toutes les applications aujourd’hui, les bibliothèques open source permettent aux développeurs de se déplacer plus rapidement en ajoutant rapidement des fonctionnalités de base», selon Veracode. «En fait, il serait presque impossible d’innover avec des logiciels sans ces bibliothèques. Cependant, le manque de sensibilisation sur où et comment les bibliothèques open source sont utilisées et leurs facteurs de risque est une pratique problématique. »

A lire Aussi  Lancer correctement python et ses commandes 2019

Quatre bibliothèques principales représentent la majorité des bogues open source trouvés dans les applications: Swift, .NET, Go et PHP.

Swift a une utilisation spécialisée dans l’écosystème Apple et présente la densité de défauts la plus élevée, selon Veracode. Cependant, il a également un faible pourcentage global de bibliothèques défectueuses en termes de volume.

.NET quant à lui a le plus faible pourcentage de bibliothèques défectueuses sur les quatre, et sur une population qui est plus de 17 fois plus grande que Swift.

Go a un pourcentage élevé de bibliothèques présentant des défauts, mais un nombre global de défauts faible par bibliothèque individuelle. Et PHP a un taux plus élevé de bibliothèques défectueuses que Go – mais plus du double de la densité des défauts dans une bibliothèque donnée.

open source

L’entreprise a également constaté que script intersite(XSS) est la catégorie de vulnérabilité la plus courante dans les bibliothèques open source – présente dans 30% d’entre elles. Ceci est suivi d’une désérialisation non sécurisée (23,5%) et d’un contrôle d’accès rompu (20,3%).

« Nous avons constaté que la désérialisation non sécurisée était une faille relativement rare parmi les applications internes (huitième sur dix) », selon le rapport. «Avoir un tel classement élevé lorsque l’on regarde les bibliothèques est troublant car cette catégorie de défauts peut entraîner l’exécution de chemins de code inattendus, ce qui signifie que des parties de bibliothèques que nous n’avons même pas l’intention d’utiliser peuvent être insérées dans le chemin d’exécution de leur hébergement. applications en utilisant cette faille.  »

 

Les données ont également montré que la plupart des bibliothèques défectueuses se retrouvent indirectement dans le code – grâce aux interdépendances en cascade. Les développeurs peuvent utiliser une bibliothèque – mais à leur insu, la bibliothèque qu’ils utilisent a tiré du code d’une bibliothèque open source entièrement différente pour la soutenir.

«Quarante-sept pour cent des bibliothèques défectueuses dans les applications sont transitoires – en d’autres termes, elles ne sont pas attirées directement par les développeurs, mais sont attirées par la première bibliothèque (42 pour cent sont attirées directement, 12 pour cent sont les deux). Cela signifie que les développeurs introduisent beaucoup plus de code, et souvent du code imparfait, qu’ils ne le pensaient. »

La bonne nouvelle est que la correction des failles de sécurité dans ces bibliothèques n’est pas un énorme coup de pouce.

«La plupart des failles introduites par la bibliothèque (près de 75%) dans les applications peuvent être corrigées avec seulement une mise à jour mineure; des mises à niveau majeures de la bibliothèque ne sont généralement pas nécessaires », selon le rapport Veracode. « Ce point de données suggère que ce problème est un problème de découverte et de suivi, et non une refactorisation énorme du code. »

Préoccupé par les défis de sécurité de l’IoT auxquels les entreprises sont confrontées alors que davantage d’appareils connectés dirigent nos entreprises, pilotent nos lignes de fabrication, suivent et fournissent des soins de santé aux patients, et plus encore?

Add a Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *