Depuis 2015, Sonatype, une entreprise spécialisée dans le DevSecOps, publie chaque année le rapport « State of the Software Supply Chain Report ». Dans l’édition de cette année, l’entreprise montre une forte augmentation de l’utilisation des logiciels libres, mais aussi un risque d’attaque accru par rapport à l’année dernière.
Sommaire
Lacunes et attaques en matière de sécurité
Sonatype a examiné de plus près les quatre plus grands fournisseurs de logiciels open source : le référentiel central Maven pour Java, NuGet pour .NET, npm pour JavaScript et le Python Package Index (PyPI) pour Python. Cela a montré une forte augmentation de l’offre et de la demande de logiciels libres : Par rapport à l’année précédente, le nombre de projets open source dans les quatre écosystèmes a augmenté de 20 %, et les téléchargements de composants ont même augmenté de 73 % en moyenne.
(Image : Sonatype)
Parmi les 10 % de projets open source les plus populaires, près d’un tiers (29 %) présentent au moins une faille de sécurité connue. Dans les 90 % de projets restants, cela ne concerne que 6,5 %. Pour Sonatype, cela s’explique par le fait que les chercheurs en sécurité se concentrent sur les projets les plus populaires ; les failles potentielles dans les logiciels moins populaires ont donc tendance à ne pas être détectées.
(Image : Sonatype)
En outre, les attaques contre les logiciels libres augmentent de manière exponentielle, selon l’étude : les attaques contre la chaîne d’approvisionnement, telles que l’injection de code malveillant et la confusion des dépendances, affichent une augmentation de 650 % par rapport à l’année précédente. Dans le rapport de 2020, cette valeur était encore de 430 %.
Réglementation juridique
Outre d’autres aspects tels que les pratiques des pairs, l’étude examine également les lois régissant la chaîne d’approvisionnement en logiciels aux États-Unis, au Royaume-Uni, en Allemagne, dans l’Union européenne et dans le monde. Par exemple, la loi controversée sur la sécurité informatique 2.0 mise en œuvre en Allemagne depuis mai 2021 est discutée. Selon cette loi, les fabricants de composants logiciels sont soumis à l’obligation de sécuriser la chaîne d’approvisionnement si certaines conditions sont remplies, comme l’utilisation de leurs composants dans des infrastructures critiques.
Vous trouverez de plus amples informations sur l’étude sur le blog de Sonatype et dans le rapport complet « 2021 State of the Software Supply Chain Report ».
(peut)