À quel point les logiciels open source sont-ils sécurisés ?
Lorsque les gens font des choix logiciels, la sécurité est souvent en haut de leurs listes de priorités. Et si ce n'est pas le cas, ça devrait l'être ! Cependant, ils s'interrogent généralement sur les différences entre les logiciels fermés et open source.
Alors, quelle est la différence entre open-source et fermé-source ? Les logiciels open source sont-ils vraiment sécurisés ?
Logiciels open source ou logiciels fermés
Les gens rendent les logiciels open source librement accessibles à tous. Le public peut l'utiliser, le copier, le modifier et le redistribuer. De plus, comme son nom l'indique, tout le monde peut voir le code source.
Le logiciel à source fermée comporte un code étroitement protégé que seules les personnes autorisées peuvent voir ou modifier. Le coût couvre le droit des personnes à l'utiliser, mais uniquement dans les limites du contrat de licence pour l'utilisateur final.
La visibilité Open Source présente des avantages et des inconvénients en matière de sécurité
La possibilité pour n'importe qui de voir le code source apporte des avantages majeurs pour la sécurité open source. Le développement devient un effort communautaire auquel participent des personnes du monde entier.
Cela signifie que les erreurs sont souvent détectées et corrigées plus rapidement que si seul un groupe beaucoup plus restreint d'individus examinait le code.
Cependant, les pirates tirent également parti de l'accessibilité du code open source. Ils pourraient l'utiliser pour planifier des attaques ou prendre note des vulnérabilités.
Les développeurs qui s'intéressent véritablement à l'amélioration des logiciels open source résolvent les problèmes qu'ils trouvent ou au moins signalent les problèmes à une personne ayant les compétences pour les résoudre. Toute personne ayant des intentions malveillantes espère que les choses passeront inaperçues le plus longtemps possible.
Ces réalités amènent les professionnels de la cybersécurité à avertir que les logiciels open source peuvent mettre les organisations en danger. L'un des problèmes est que les criminels pourraient voir le code et y injecter du contenu dangereux. Alternativement, ces parties pourraient cibler des entreprises qui n'ont pas de pratiques strictes pour télécharger des correctifs logiciels avec une fréquence suffisante.
Étant donné que les logiciels open source n'ont pas d'autorité centrale pour les gérer, il est difficile pour quiconque de savoir quelles versions sont utilisées le plus souvent. Les titres peuvent être mis à jour si fréquemment que les équipes informatiques d'une organisation ne réalisent pas qu'elles disposent d'une ancienne version présentant de graves problèmes de sécurité.
Les bibliothèques de logiciels tiers présentent des risques de sécurité open source
Les développeurs utilisent souvent des bibliothèques de logiciels tiers pour gagner du temps. Ce sont des composants réutilisables développés par une entité autre que le fournisseur d'origine. Un avantage est qu'ils permettent l'utilisation de code pré-testé.
Les bibliothèques populaires sont testées dans de nombreux environnements pour un large éventail de cas d'utilisation. La fréquence naturelle d'utilisation signifie que les bogues sont souvent signalés. Cependant, cela ne signifie pas nécessairement que les bibliothèques de logiciels tiers ont une sécurité supérieure, même lorsqu'il s'agit de celles associées aux logiciels open source.
Une étude a révélé que, dans près de 80 % des cas, les bibliothèques tierces pour les logiciels open source ne sont pas mises à jour après que les développeurs les ont ajoutées aux bases de code. Les chercheurs impliqués dans l'étude ont mis en garde contre le fait que le manque de mises à jour pourrait avoir des effets d'entraînement.
Certains des titres de logiciels les plus récents et les plus utilisés reposent sur des bibliothèques de logiciels tiers pendant le développement. Une faille pourrait affecter tous les produits associés à une bibliothèque problématique. Une autre constatation inquiétante est que plus d'un quart des développeurs interrogés n'étaient pas au courant ou n'étaient pas sûrs d'un processus formel utilisé pour sélectionner des bibliothèques tierces.
Cependant, une conclusion positive de l'étude est que les mises à jour logicielles corrigent 92 % des failles des bibliothèques de logiciels tiers. De plus, 69 % des mises à jour ne nécessitent qu'un changement de version mineur ou quelque chose d'encore moins important.
Encore plus prometteur, les développeurs pouvaient corriger 17% de ces failles en une heure. Cela signifie que résoudre ces problèmes de bibliothèque open source n'est pas toujours extrêmement chronophage ou compliqué.
Comment la vitesse de résolution des bogues affecte la sécurité open source
L'un des principaux problèmes avec les logiciels obsolètes est qu'ils exposent les utilisateurs à des failles de sécurité potentielles. Dans un monde idéal, les développeurs remarqueraient et corrigeraient tous les bogues avant que le logiciel n'atteigne le public. C'est un objectif irréaliste, cependant.
La meilleure option suivante consiste à publier des correctifs logiciels peu de temps après que les vulnérabilités sont devenues apparentes. Les chercheurs en sécurité alertent souvent les fournisseurs de logiciels à code source fermé des problèmes nécessitant des solutions rapides. Cependant, les personnes qui développent ces produits suivent des calendriers de sortie choisis par leurs supérieurs.
Les décideurs ne donnent pas non plus toujours la priorité à toutes les vulnérabilités. Certains restent sans réponse pendant des mois ou des années après l'identification initiale. Un problème connexe est que de nombreux développeurs sont aux prises avec des charges de travail excessives ou déséquilibrées qui peuvent considérablement limiter leur capacité à corriger rapidement les bogues, même avec les meilleures intentions.
Une autre enquête a révélé que 38 % des développeurs passent un quart de leur temps disponible à corriger les bogues logiciels. Environ 26% des personnes interrogées ont déclaré que la tâche leur prenait la moitié de leurs journées de travail. Une autre découverte révélatrice est que 32 % des développeurs passent jusqu'à 10 heures par semaine à corriger des bogues au lieu d'écrire du code.
Les développeurs prennent de nombreuses précautions pour éviter de publier du code problématique. Par exemple, la couverture de Blue Sentry a expliqué comment une base de données sandbox donne une version miroir de l'environnement de production et tout changement de cycle de déploiement actuel.
Les professionnels du développement Web peuvent apprendre et tester des choses sans conséquences négatives majeures qui affectent toute une équipe. Mais des bugs se produisent toujours.
Étant donné que les logiciels open source ont des communautés de développement entières travaillant pour l'améliorer, il y a de fortes chances que quelqu'un avec les bonnes compétences et la disponibilité du calendrier puisse cibler un bogue et le faire corriger. Cela peut signifier que les vulnérabilités connues ne restent pas sans réponse aussi longtemps qu'elles le pourraient avec un titre de logiciel à source fermée.
Google lance un outil pour améliorer la sécurité open source
Les dépendances logicielles existent lorsqu'un système d'exploitation dépend d'un autre pour fonctionner. En ce qui concerne les logiciels open source, le rythme rapide des changements rend souvent difficile pour les développeurs de comprendre si l'une de leurs dépendances concerne des versions obsolètes.
Cependant, Google a récemment publié un outil de visualisation Web appelé Open Source Insights pour résoudre ce problème. Il donne aux utilisateurs une vue d'ensemble des composants associés à un progiciel.
Étant donné que les informations incluent des détails sur les dépendances et leurs propriétés, les professionnels du développement ont une idée plus précise de la possibilité qu'un logiciel open source obsolète puisse causer des problèmes plus tard.
Outre l'examen des graphiques de dépendances, les utilisateurs peuvent utiliser un outil de comparaison qui montre comment différentes versions de packages peuvent affecter les dépendances. Parfois, une version plus récente résout un problème de sécurité. En proposant cet outil, Google vise à permettre aux développeurs de mieux comprendre comment ils utilisent les logiciels open source.
Avoir ces nouvelles connaissances pourrait améliorer la sécurité et la convivialité globale.
Logiciel Open Source : pas une solution de sécurité totale
Cet aperçu montre pourquoi les logiciels open source ne sont pas toujours le choix le plus sûr par rapport aux logiciels fermés. Néanmoins, il y a aussi beaucoup de bonnes choses à propos des logiciels open source.
Les personnes qui ont l'intention de l'utiliser pour des raisons personnelles ou au sein de leurs organisations doivent peser le pour et le contre pour prendre une décision.