
Le dernier rapport sur la chaîne logistique logicielle de Sonatype indique une augmentation de 20 % de l'offre également, les quatre principaux écosystèmes open source contenant désormais 37 451 682 versions différentes de composants.
Malgré ce choix énorme, on constate que les applications de production n'utilisent que six pour cent des projets disponibles.
Toutefois, cela se fait au prix d'une augmentation de 650 % des attaques de la chaîne d'approvisionnement des logiciels visant à exploiter les faiblesses des écosystèmes open source en amont. Le rapport révèle que 29 % des versions de projets populaires contiennent au moins une faille de sécurité connue. À l'inverse, ce n'est le cas que de 6,5 % des versions de projets non populaires, ce qui laisse penser que les chercheurs en sécurité - qu'ils soient bons ou mauvais - se concentrent sur les projets les plus utilisés.
"Le rapport de cette année sur l'état de la chaîne logistique logicielle démontre, une fois de plus, que l'open source est à la fois un carburant essentiel pour l'innovation numérique et une cible parfaite pour les attaques de la chaîne logistique logicielle", déclare Matt Howard, vice-président exécutif de Sonatype. "Alors que la demande des développeurs pour l'open source continue de croître de manière exponentielle, notre étude montre pour la première fois la faible proportion de l'offre globale qui est réellement utilisée. De plus, nous savons maintenant que les projets populaires contiennent un nombre disproportionné de vulnérabilités. Cette dure réalité met en évidence à la fois une responsabilité critique et une opportunité pour les responsables de l'ingénierie d'adopter une automatisation intelligente afin de pouvoir standardiser les meilleurs fournisseurs d'open source et d'aider simultanément les développeurs à garder les bibliothèques tierces fraîches et à jour avec des versions optimales."
Entre autres conclusions, les équipes d'ingénierie commerciale ne gèrent que 25 % des composants qu'elles utilisent, ce qui laisse la majorité de leurs dépendances open source périmées et donc susceptibles de présenter des risques de sécurité accrus.
Les résultats montrent également que, grâce à l'automatisation intelligente, une entreprise de taille moyenne comptant 20 équipes de développement d'applications économiserait au total 160 jours de développement par an, soit 192 000 dollars par an.
Source : Sonatype
Et vous ?

Voir aussi :



