Français 
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Gestion des composants open source dans la chaîne d'approvisionnement logicielle
Getty Images/iStockphoto
Les composants open source constituent un élément essentiel des applications logicielles actuelles, mais ils peuvent avoir un coût critique : la sécurité.
Les applications logicielles modernes comprennent des composants provenant de nombreuses sources différentes, y compris les logiciels open source (OSS). Cela peut ajouter des avantages au cycle de vie du développement logiciel, tels qu'une vitesse de développement accrue, une réduction des coûts de développement et une évolutivité accrue.
Mais l'utilisation de composants provenant de sources diverses élargit également la surface d'attaque d'une application, augmentant ainsi le nombre de points d'entrée que les attaquants peuvent utiliser pour accéder aux applications et aux données sensibles. Les équipes DevOps doivent assurer la sécurité de leur chaîne d'approvisionnement logicielle en adoptant des mesures proactives pour atténuer les attaques.
Une chaîne d'approvisionnement logicielle comprend toutes les personnes, processus, outils, bibliothèques de codes et infrastructures informatiques sous-jacentes utilisés pour créer une application logicielle. Il comprend tous les aspects du cycle de vie du développement logiciel (SDLC), tels que la création de code, les tests, le déploiement et la maintenance après lancement.
De nombreux composants qui composent la chaîne d'approvisionnement logicielle d'un projet sont open source. Par exemple, la société d'automatisation de la conception Synopsys a publié un rapport en février 2023 qui inspectait les résultats de plus de 1 700 audits de bases de code commerciales. Le rapport révèle qu'au moins un composant open source est présent dans 96 % des applications. Presque toutes les applications commerciales intègrent un composant open source.
Une attaque contre la chaîne d'approvisionnement logicielle se produit lorsque des attaquants infiltrent le logiciel d'un fournisseur pour y implanter un code malveillant qui infecte les clients utilisant ce logiciel. L'infiltration peut se produire à tout moment au cours du SDLC, et de nombreuses cyberattaques dévastatrices utilisent la chaîne d'approvisionnement logicielle. Les attaques récentes sur la chaîne d'approvisionnement incluent l'attaque SolarWinds et la vulnérabilité Log4j.
La sécurité de base de la chaîne d’approvisionnement logicielle nécessite de vérifier ses zones vulnérables :
Les composants OSS sont de plus en plus populaires pour les projets de développement de logiciels. Les fournisseurs informatiques utilisent et prennent en charge la création de projets open source, tels que les suivants :
En plus d'alimenter des applications majeures, les composants OSS offrent de nombreux avantages. Leur utilisation est gratuite, même lors du développement d’applications commerciales. Les composants OSS sont également personnalisables car le code est ouvert : les développeurs peuvent étendre les fonctionnalités pour inclure davantage de fonctionnalités.
Les logiciels libres peuvent réduire le temps de développement. La bibliothèque OSS contient des composants pour presque toutes les fonctionnalités que les utilisateurs souhaitent intégrer dans leur application. Cela donne aux développeurs plus de temps pour d’autres domaines de développement. Les projets open source sont également souvent développés selon une norme spécifique, ce qui permet à différents composants open source d'interopérer sans problème.
Enfin, les projets open source peuvent avoir une qualité de code et une sécurité robustes. Ils sont souvent développés par de nombreux contributeurs, ce qui garantit de nombreux tests du composant logiciel. Tout développeur peut également inspecter les composants OSS à la recherche de failles de sécurité, ce qui les rend plus sécurisés que le code propriétaire que les développeurs ne peuvent pas inspecter pour détecter des problèmes de sécurité.
Malgré les nombreux avantages des logiciels libres, les attaquants peuvent toujours infiltrer les composants open source. La méthode d'attaque la plus courante consiste à abuser des aspects OSS de la chaîne d'approvisionnement des logiciels à des fins malveillantes, ce qui peut se produire de différentes manières :
Pour gérer la sécurité des composants open source dans les chaînes d'approvisionnement logicielles, les équipes DevOps doivent prendre en compte ces bonnes pratiques :
Suivez des pratiques de codage sécurisées lors du développement d’applications et demandez aux fournisseurs de logiciels de le faire également. Ces pratiques de codage sont les suivantes :
Les équipes doivent également s'assurer que l'environnement de la chaîne d'approvisionnement logicielle est sécurisé tout au long du développement. Les meilleures pratiques sont les suivantes :