Le logiciel open source est devenu une cible principale dans l’escalade de la vague de menaces de cybersécurité. Au fur et à mesure que les attaques deviennent plus sophistiquées, la communauté open-source court pour combler les lacunes de sécurité critiques et arrêter le code malveillant avant de se propager.
Avec le code open source utilisé dans la plupart des logiciels commerciaux, les risques d’infection sont rampants dans la plupart des industries. Il est indispensable et dangereusement négligé, a fait remarquer Jason Soroko, chercheur principal de la société de gestion du cycle de vie des certificats Sectigo.
« Avec 86% des bases de code hébergeant des vulnérabilités et un tripling dans les fichiers open source compte sur quatre ans, les applications modernes ont augmenté leurs surfaces d’attaque sans surveillance adéquate », a-t-il déclaré à LinuxInsider.
Il a exhorté les équipes de sécurité à réviser leurs stratégies. La numérisation traditionnelle des packages manque plus de 20% des dépendances, exposant les angles morts introduits par des pratiques de codage alternatives et des outils d’IA.
Soroko affirme que plusieurs rapports récents offrent plus qu’un simple réveil. Ils émettent un mandat de gouvernance proactive.
Efforts pour s’attaquer à la menace open source Spike
Le rapport en direct et le rapport Linux Linux et le paysage open source de la société de sécurité Linux Tuxcare – disponible en téléchargement gratuit – confirme ce pronostic. Il a découvert trois tendances importantes cette année qui ont déclenché un appel au réveil pour des experts en sécurité et des utilisateurs de logiciels sur toutes les plateformes.
Michael Canavan, directeur des revenus de Tuxcare, a averti qu’il y avait une différence claire entre la perception des niveaux de vulnérabilité et des menaces réelles.
« Les nombreuses autres découvertes du rapport brossent également un tableau d’un espace open source et de Linux d’entreprise qui connaît une innovation et une perturbation continue aux côtés de défis de sécurité en cours », a-t-il déclaré à LinuxInsider.
Ce rapport de 62 pages, publié en février, a été suivi d’une autre étude montrant comment un code malveillant répandu s’est développé et est facilement utilisé contre toute cible. Également publiés en février, les chercheurs de la société de sécurité des applications APIIRO ont détecté et analysé des milliers d’instances de code malveillant dans les référentiels et les packages de logiciels, avec de nouveaux émergents quotidiennement.
Le rapport a décrit comment des millions de référentiels GitHub ont été clonés et infectés par des chargeurs de logiciels malveillants, selon Matan Giladi, chercheur en sécurité à Apiiro. L’obscurcissement est la clé pour bloquer la détection des attaques.
« Les méthodes d’obscurcissement évoluent en continu. Les méthodes d’obscuscations connues sont nombreuses, prenant chacune plusieurs formes, ce qui rend la détection et la séparation du code bénin très difficile », a-t-il déclaré à LinuxInsider.
Les lacunes dans la perception sapent la sécurité Linux
Une révélation majeure du rapport sur les smoking est le désalignement entre les perceptions des professionnels de la sécurité. Il existe une déconnexion importante entre les perceptions des professionnels de la sécurité des niveaux de vulnérabilité et le véritable paysage des menaces.
Environ la moitié des répondants pensaient que les volumes de vulnérabilité sont restés stables en 2024 par rapport à 2023. Cependant, les données montrent une augmentation de 25% dans l’ensemble et une augmentation stupéfiante de 12 fois des vulnérabilités spécifiques à Linux. Cette sous-estimation peut avoir un impact négatif sur les stratégies de sécurité, l’allocation du budget et la planification de la réponse aux incidents.
«Les organisations doivent aller au-delà de la pensée réactive et mettre en œuvre une analyse continue de la vulnérabilité, une intégration de l’intelligence des menaces et des rapports transparents. Vous ne pouvez pas sécuriser ce que vous ne comprenez pas avec précision. Les données montrent que trop d’équipes volent toujours à l’aveugle.» Dit Canavan.
Le rapport a noté une baisse significative de la confiance dans la sécurité de la chaîne d’approvisionnement open source – de 23,81% à 12,31%. Cette baisse reflète probablement une sensibilisation accrue aux attaques de la chaîne d’approvisionnement, telles que l’incident de la porte dérobée XZ, qui a eu un large impact et a conduit 70% des organisations à examiner leurs processus de chaîne d’approvisionnement en open source.
Canavan a admis que la confiance dans les chaînes d’approvisionnement open source s’érode, et à juste titre. Les organisations doivent adopter un état d’esprit zéro-trust avec des pratiques telles que l’application des documents de la facture de logiciels (SBOM), des audits de dépendance de routine et une provenance du code source vérifié.
L’Open Source n’est pas le problème; La consommation non vérifiée et non gérée est. Il a exhorté le traitement de la sécurité des chaînes d’approvisionnement des logiciels avec la même rigueur que les infrastructures physiques.
Plus de résultats clés dans le cyber-Rapport de smoking
La dépendance à l’égard de l’automatisation complète des processus de sécurité est passée de 14,48% à 2,56%. Cette tendance indique une reconnaissance croissante de la nécessité d’une surveillance humaine parallèlement à l’automatisation pour une sécurité efficace.
« L’automatisation est essentielle, mais elle ne peut pas remplacer le jugement. La retraite de l’automatisation complète reflète une correction nécessaire », a noté Canavan.
L’expertise humaine est essentielle pour la priorisation de la vulnérabilité, la validation des patchs et la réponse aux incidents. L’automatisation doit gérer les tâches répétitives et évolutives, tandis que les humains devraient gérer les tâches ambiguës et stratégiques.
« Les environnements les plus résilients sont ceux où les deux travaillent en harmonie », a-t-il ajouté.
L’incident de Crowdsstrike et la découverte de la porte dérobée XZ Utils ont considérablement sensibilisé les risques de la chaîne d’approvisionnement des logiciels. Crowdstrike aurait provoqué des pertes directes qui pourraient atteindre 5,4 milliards de dollars aux entreprises du Fortune 500, soulignant les conséquences financières importantes des violations de sécurité. Avec 83,6% des répondants conscients de l’occurrence XZ, la perception de la sécurité open source a subi de graves préjudices.
Les organisations adoptent de plus en plus l’IA pour la réduction des coûts (passant de 35% à 53%) plutôt que principalement pour l’innovation (qui a diminué) – suggérant une vision de maturation de l’IA en tant qu’outil commercial pratique axé sur l’efficacité.
«Alors que l’adoption de l’IA passe de l’innovation à la rentabilité, nous verrons une demande croissante de l’entreprise d’outils d’IA open-source légers et spécialement conçus qui offrent un déploiement rapide et un retour sur investissement mesurable», a prédit Canavan.
«Ce pivot stimulera également probablement des contributions plus ciblées aux projets qui optimisent les ressources de calcul, rationalisent les flux de travail et simplifient l’intégration dans les piles d’entreprise existantes.»
Les nouveaux outils visent à détecter tôt le code malveillant
Jusqu’à présent, les CISO devaient payer des coûts importants pour se défendre contre le code malveillant, les organisations investissant souvent des centaines de milliers de dollars par an. Apiiro espère que ses deux solutions, disponibles chez GitHub, changent ce scénario.
Les premières règles Semgrep, détectent l’exécution du code dynamique et les modèles d’obscurcissement trouvés dans la plupart des incidents déclarés par le code malveillants. Il comprend uniquement des règles avec de faibles taux de faux positifs et une forte corrélation avec le code malveillant. Selon Giladi, cet ensemble de règles s’intègre à n’importe quel pipeline CI / CD, permettant la détection à tout stade.
La seconde, EVER, permet de surveiller en temps réel des demandes de traction, d’appliquer des politiques et de déclencher des workflows. Cet outil fonctionne en conjonction avec Semgrep.
« Les flux de travail existants ne fournissent aucune couverture ou une couverture minimale pour ces modèles, et ceux qui produisent une énorme quantité de faux positifs », a déclaré Giladi, se référant aux anti-motifs dans un code malveillant.
Il a ajouté que les outils d’analyse binaire détectent les logiciels malveillants dans le code compilé et que les outils d’analyse statique analysent les vulnérabilités. Cependant, il ne détecte ni le code malveillant ajouté au code source ni à son cycle de vie.
« Les plus proches sont les scanners du code malveillant en open source, ce qui pourrait aider les chercheurs mais ne sont pas pratiques pour les organisations en raison du ratio de faux positifs élevé et de la couverture limitée », a-t-il déclaré.
Réduire les faux positifs dans la détection des menaces
Les recherches d’Apiiro ont déterminé que les anti-motifs identifiés sont rares dans le code bénin. Cependant, ils ont également trouvé des scénarios potentiels où le code légitime pourrait présenter ces modèles. L’approche de l’entreprise minimise les faux positifs.
Selon Giladi, la plupart des faux positifs découlent des détections de données codées. Les deux sont les favoris des attaquants et un sujet avec un manque significatif de sensibilisation.
« Bien qu’il soit convenu que le code devrait être lisible et que les données codées soient illisibles, de nombreux développeurs comptent sur des pratiques obsolètes. Généralement, l’adhésion aux normes de codage établies telles que les directives Google / Microsoft élimine les faux positifs », a-t-il ajouté.
L’ubiquité de l’open source augmente les risques
La récente publication du rapport de la société de sécurité et d’analyse des risques de la société de cybersécurité Black Duck – disponible avec un formulaire de formulaire – a montré à quel point le code open source est répandu. Il est si omniprésent qu’il peut introduire un risque significatif à moins d’être identifié et géré de manière adéquate.
Le rapport a révélé que 86% des bases de code commerciaux évaluées contenaient des vulnérabilités de logiciels open source et 81% contenaient des vulnérabilités à risque élevé ou critique. Les données de Black Duck montrent que le nombre de fichiers open source dans une application moyenne a triplé de plus de 5 300 en 2020 à plus de 16 000 en 2024.
Les résultats clés supplémentaires comprennent:
- 90% des bases de code vérifiées ont des composants open source qui étaient plus de quatre ans.
- JQuery, une bibliothèque JavaScript largement utilisée, a été la source la plus fréquente de vulnérabilités, avec huit des 10 vulnérabilités à haut risque.
- Seules 77% des dépendances ont pu être identifiées via la numérisation du gestionnaire de packages, ce qui suggère que d’autres moyens, y compris les assistants de codage d’IA, ont introduit le reste. Ces angles morts conduisent à des vulnérabilités non corrigées, à des composants obsolètes et à des conflits de licence.
- 97% des bases de code évaluées contenaient une source open source, avec une moyenne de 911 composants OSS trouvés par application. Du point de vue de l’industrie, les pourcentages variaient de 100% dans les secteurs du matériel informatique et des semi-conducteurs, EDTech et Internet et des applications mobiles à un «faible» de 79% pour la fabrication, les industriels et la robotique.
«Les résultats de la recherche indiquent que l’adoption des logiciels open source pose largement des défis de sécurité considérables. De nombreuses bases de code commerciaux présentent des vulnérabilités risquées de manière critique, indiquant un problème systémique», a déclaré Eric Schwake, directeur de la stratégie de cybersécurité de la société de sécurité API Salt Security.