74 % des bases de code présentent des vulnérabilités open source à haut risque
Le pourcentage de bases de code présentant des vulnérabilités open source à haut risque – celles qui ont été activement exploitées, ont des exploits de preuve de concept documentés ou sont classées comme vulnérabilités d’exécution de code à distance – est passée de 48 % en 2022 à 74 % en 2023. selon de nouvelles recherches.
Le rapport Open Source Security and Risk Analysis (OSSRA) de Synopsys est basé sur les résultats de plus de 1 000 audits de bases de codes commerciaux dans 17 secteurs. Alors que les bases de code contenant au moins une vulnérabilité open source restent constantes d’une année sur l’autre à 84 %, un nombre nettement plus élevé de bases de code contenaient des vulnérabilités à haut risque en 2023.
« Le rapport OSSRA de cette année indique une augmentation alarmante des vulnérabilités open source à haut risque dans divers secteurs critiques, les exposant à un risque d’exploitation par des cybercriminels », déclare Jason Schmitt, directeur général de Synopsys Software Integrity Group. « La pression croissante exercée sur les équipes logicielles pour qu’elles agissent plus vite et fassent plus avec moins en 2023 a probablement contribué à cette forte augmentation des vulnérabilités open source. Les acteurs malveillants ont pris note de ce vecteur d’attaque, maintenant ainsi une bonne hygiène logicielle en identifiant, traquant et gérant l’open source est effectivement un élément clé pour renforcer la sécurité de la chaîne d’approvisionnement en logiciels.
Entre autres conclusions, 91 % des bases de code contiennent des composants dont 10 versions ou plus sont obsolètes, et près de la moitié (49 %) des bases de code contiennent des composants qui n’ont fait l’objet d’aucune activité de développement au cours des deux dernières années.
Ventilé par secteur, le secteur du matériel informatique et des semi-conducteurs présente le pourcentage le plus élevé de bases de code présentant des vulnérabilités open source à haut risque (88 %), suivi de près par le secteur manufacturier, industriel et robotique avec 87 %. Plus près du milieu du peloton, le secteur du Big Data, de l’IA, de la BI et du Machine Learning avait 66 % de ses bases de code affectées par des vulnérabilités à haut risque. En bas de la liste, les secteurs de l’aérospatiale, de l’aviation, de l’automobile, du transport et de la logistique présentent toujours des vulnérabilités à haut risque dans 33 % de leurs bases de code.
Vous pouvez obtenir le rapport OSSRA sur le site Synopsys.
Crédit image: lightsource/depositphotos.com