L’édito du hors-série spécial « Programmation avec un moteur 3D » !

La société Synopsys a récemment publié un rapport de 39 pages intitulé « 2020 Open Source Security and Risk Analysis (OSSRA) Report » [1]. Cette étude, basée sur l’analyse de 1253 applications, indique que 99% des applications auditées contiennent des composants open source. Si toutes les applications analysées étaient open source, cela n’aurait guère d’intérêt, mais il faut savoir que 30% d’entre elles sont propriétaires. Il y a donc un intérêt indéniable pour l’open source qui s’immisce dans pratiquement tous les développements logiciels.

L’objet premier de ce rapport, comme son nom l’indique, est de pointer les risques liés à la sécurité des applications. Ce ne sont pas ces informations qui m’ont particulièrement intéressé, même si l’on peut noter que 75% des applications auditées contiennent au moins une vulnérabilité (dûe le plus souvent à l’usage d’une version obsolète d’un composant open source) ; je trouve plus pertinent de s’attarder sur les composants open source les plus utilisés : jQuery, Bootstrap, Font Awesome, Lodash, jQuery UI, Underscore-stay, Inherits, isArray, VisionMedia/debug, et Minimatch. Il ne s’agit que de technologies web, la plupart utilisant le langage JavaScript. Il n’y a donc rien d’étonnant à ce qu’il y ait autant de failles si les versions utilisées sont anciennes (91% des applications contiennent des composants qui n’ont pas été mis à jour depuis plus de 4 ans ou qui n’ont pas été maintenus depuis 2 ans).

Plus intéressant, dans 73% des applications des conflits de licences open source (ou plus simplement une absence de mention dans 33% des cas) ont été relevés. Pour beaucoup de développeurs et de décideurs, l’open source est un « supermarché » en libre service où l’on peut venir piocher des éléments à sa guise gratuitement. En 2020, alors que l’open source n’effraie plus que quelques dinosaures rétrogrades, il est donc toujours d’actualité d’expliquer encore et toujours ce qu’est un logiciel libre ou open source et quelles sont les différentes licences et ce qu’elles permettent et impliquent. Si les failles de sécurité sont dangereuses pour les applications, les défauts de licence sont dangereux pour les entreprises qui risquent des attaques en justice.

Continuez donc d’utiliser des logiciels open source, de lire GNU/Linux Magazine et portez la bonne parole y compris auprès des utilisateurs de systèmes autres que Linux : la plupart des outils et langages que nous utilisons sont multiplateformes, ne l’oublions pas !

[1] #2020 OSSRA Report : https://www.synopsys.com/software-integrity/resources/analyst-reports/2020-open-source-security-risk-analysis.html

Tristan Colombo


Retrouvez GNU/Linux Magazine Hors-série n°109 :