Open Source : des failles dans 29,8 millions de librairies téléchargées en 2011
"80% du code des applications d'aujourd'hui provient de librairies et frameworks, mais le risque de trouver des vulnérabilités dans ces composants est largement ignoré et sous-estimé". Ce constat, mis en lumière par Sonatype et le cabinet Aspect Security dans le cadre d'une étude conjointe, fait froid dans le dos.
Les résultats dévoilés dans le cadre de l'étude "The Unfortunate Reality of Insecure Librairies" publiée en mars 2012 se basent sur 113 millions de téléchargements. Ces derniers ont été effectués depuis le répertoire de code de 31 projets de librairies et frameworks Java Open Source parmi les plus populaires.
Les principaux résultats de cette étude sont sans appel : 26% des téléchargements réalisés en 2011 sur ces dépôts de code (soit 29,8 millions), toute date de création confondue, concernent des sources affichant des vulnérabilités. Les librairies les plus vulnérables téléchargées portaient sur Google Web Toolkit, Xerces, Spring MVC et Struts 1.x. Selon Aspect Security, les applications Java les plus courantes sont susceptibles d'inclure au moins une librairie vulnérable.
"Les librairies sans vulnérabilités connues ne doivent pas être automatiquement considérées comme sûres" (Aspect Security)
Parmi les risques relatifs aux librairies, le cabinet met en lumière le fait qu'une application Java personnalisée contient 5 à 10 vulnérabilités pour 10 000 lignes de code. "Les librairies sans vulnérabilités connues ne doivent pas être automatiquement considérées comme sûres. A contrario, des librairies ayant connu des historiques remplis de vulnérabilités, ne doivent pas nécessairement être considérées comme non sûres", tempère toutefois le cabinet.
Les vulnérabilités rencontrées sont aussi fortement liées aux types de licences téléchargées. Alors que les librairies et/ou frameworks sous GPL 2.0+ contiennent presque toutes des vulnérabilités, ce n'est pas le cas pour les licences LGPL 2.0 et 2.0+.
GWT représente environ un tiers des téléchargements de librairies Java créées en 2011 et 97% de celles qui sont vulnérables
Aspect Security s'est également penché sur la possible corrélation existante entre la découverte de vulnérabilités et la fraîcheur de mise à jour des framewoks et librairies de développement. "Si les organisations téléchargent d'anciennes versions d'une librairie ou d'un framework, il y a toutes les raisons de croire qu'elles téléchargent également des versions vulnérables. Nous avons découvert que 37% des 1 261 versions des 31 librairies que nous avons étudiées, contiennent au moins une vulnérabilité CVE ou OSVDB associée à leur utilisation."
Par ailleurs, l'étude montre que 35% des téléchargements de versions de librairies et/ou frameworks créés en 2011 ont présenté des vulnérabilités, contre seulement 15% de celles et ceux créés en 2007.
Les risques de rencontrer des vulnérabilités sont directement liés aux types de librairies et frameworks téléchargés. Ainsi, Google Web Toolkit (GWT) et Apache Xerces constituent les deux environnements de développement où les risques de rencontrer des vulnérabilités sont les plus élevés, ce qui est beaucoup moins le cas pour Spring MVC ou Apache CXF.
"GWT représente environ un tiers des téléchargements de librairies créées en 2011 et 97% de celles qui sont vulnérables", fait savoir Aspect Security.
La popularité accroît-elle le risque pour les librairies et autres frameworks téléchargés de contenir des vulnérabilités connues ? L'étude du cabinet en sécurité tend à montrer le contraire. Alors que 28% des librairies et frameworks les plus populaires contiennent des failles, ce taux grimpe à 38% pour les versions qui ne le sont pas.