Nouvelle étude sur la sécurité des entreprises open source

Une étude réalisée par The Linux Foundation en collaboration avec la société de sécurité open source Snyk a fait la une des journaux dans certains médias liés et moins liés, pour le moins, concernant le modèle de développement et son impact non seulement sur la sécurité logicielle, mais aussi sur la perception et interprétation.

Comme pour toutes ces études, les informations présentées ici sont basées sur une série d’entretiens avec des professionnels de l’industrie, en particulier 550 développeurs d’entreprises de différentes tailles, qui ont été interrogés sur les politiques de sécurité qu’ils ont mises en place dans leurs entreprises. par rapport aux logiciels open source qu’ils utilisent ? Quelle est votre perception sur cette question ?

Tout est un peu plus compliqué qu’il n’y paraît à première vue : moins de la moitié (49%) des participants travaillent dans des entreprises qui n’ont pas de politiques de sécurité pour le développement de logiciels open source et dans la plupart d’entre elles (30%), il y a n’est même pas une personne responsable de ce domaine. Mais l’open source n’est-il pas si sûr ? De quoi s’inquiéter ?

Le facteur de perception a toujours été très pertinent dans le domaine de l’open source en raison des caractéristiques inhérentes au modèle connu sous le nom de « loi de Linus », interprété par le fondateur de l’Open Source Initiative (OSI) et auteur du livre classique « The Cathedral and the Bazaar, Eric S. Raymond : avec suffisamment d’insectes oculaires qui remontent à la surface. Bien sûr, cette « loi » ne fonctionne que si quelqu’un regarde, rappelez-vous sur  ZDnet .

Il y a aussi cette autre « loi » de Linus qui dit qu’un bogue est un bogue, qu’il affecte la sécurité ou autre chose, bien que l’on en parle moins souvent. Cependant, cela s’applique tout de même car, après tout, la plupart des yeux dans les projets open source ne recherchent généralement pas les failles de sécurité.

Où est la perception dans la recherche de la Linux Foundation et de Snyk ? Près de la moitié des répondants (41%) ne font pas confiance à l’open source en matière de sécurité, tandis qu’un pourcentage plus important adopte une position radicalement opposée, déclarant que l’open source qu’ils utilisent est très ou extrêmement sécurisé. Sur quoi s’appuie chaque groupe pour se positionner d’une manière ou d’une autre ?

La vérité est qu’elle n’est pas claire, même si des positions aussi contradictoires donnent matière à réflexion. Tout d’abord, ce sont des professionnels qui comprennent la théorie du fonctionnement du développement de logiciels open source, dans laquelle, en effet, les yeux qui voient sont d’une importance vitale. Mais un projet comme le noyau Linux utilisé par de nombreuses grandes entreprises et organisations à travers le monde n’est pas la même chose qu’une dépendance spécifique ou un projet beaucoup plus petit.

Quoi qu’il en soit, il est un fait que l’open source, de par sa nature même, offre une couche de sécurité supplémentaire par rapport aux logiciels propriétaires, un niveau de transparence qui peut être très utile dans de nombreux cas, mais également préjudiciable dans de nombreux autres, lissant les erreurs irresponsables. décisions pour que « quelqu’un le verra et le répare », afin de ne pas s’inquiéter du problème et de sauver quelque chose.

D’un autre côté, il est tout aussi vrai que le même écosystème open source change les mentalités depuis plusieurs années maintenant, se concentrant davantage  sur les composants les plus couramment utilisés ,   faisant davantage pour découvrir des vulnérabilités ,   finançant des améliorations  et menant  d’autres types d’initiatives  dans le même sens. Beaucoup a été fait autour de Linux et du logiciel open source le plus populaire dans le monde des affaires, et les fruits en sont déjà là.

Attention, faites défiler pour continuer la lecture

Ainsi, il est reconnu, par exemple, que  Linux corrige ses failles de sécurité plus rapidement qu’Apple et Microsoft  , et bien qu’il y ait des parties qui prétendent à juste titre que le nombre de telles failles est beaucoup plus élevé dans Linux ou l’open source en général, ce qui est vrai, aussi à cause de la transparence du modèle. Cependant, il devient de plus en plus clair que la transparence ne suffit pas à garantir un environnement sûr.

Et le fait est que les vulnérabilités sont monnaie courante dans tous les types de logiciels, quel que soit le modèle sur lequel ils sont développés, et si l’open source a ses avantages, il n’est pas exempt des mêmes problèmes auxquels l’industrie a été confrontée. faire face à des décennies : il est très important de se soucier de la sécurité sans la faire basculer sur des tiers.

Quant à l’étude, elle fournit d’autres données intéressantes, soulignant, par exemple, les vulnérabilités que l’on trouve couramment dans l’application moyenne, le type de réponse ou les outils inclus dans le processus, mais l’accent mis sur la perception est l’un des les points clés auxquels il faut prêter attention.

Pour voir l’étude complète, vous pouvez suivre  ce lien  (PDF).