0
1
Technologie : La raison ? Manque de temps et manque de gouvernance sur la sécurité des projets open-source. Avec des conséquences lourdes évidemment sur la logique de DevOps.
Les failles de sécurité liées aux projets de sécurité open-source sont en augmentation. La raison ? Un manque de temps mis à la disposition des développeurs pour résoudre les vulnérabilités est considéré comme la faute.
Selon l’enquête DevSecOps de Sonatype, dans laquelle plus de 5 500 professionnels de l’IT ont donné leur avis, les failles dans les projets open source ont augmenté de 71 % au cours des cinq dernières années.
La recherche révèle que 41 % des cadres n’appliquent pas de gouvernance open-source dans leurs organisations, un chiffre problématique étant donné que les composants open-source sous-tendent de vastes sections d’applications et de réseaux d’entreprise à l’heure actuelle.
Car la communauté open-source et ses projets font partie intégrante de l’entreprise désormais. Cette technologie permet d’éviter le blocage des fournisseurs et l’utilisation de normes ouvertes. Elle peut non seulement être plus rentable, mais peut aussi permettre d’intégrer le travail de certains des meilleurs codeurs disponibles sur le marché.
Cependant, les contraintes de temps permettent à certaines vulnérabilités de passer entre les mailles du filet. Les recherches menées par Sonatype suggèrent que plus de 10 000 entreprises ont téléchargé le composant défectueux qui a conduit à la faille d’Equifax qui a conduit au vol d’informations appartenant à plus de 140 millions de clients.
Près de la moitié des développeurs de logiciels libres interrogés ont déclaré qu’ils croyaient que la sécurité devait être une priorité, mais qu’ils « n’avaient pas assez de temps à y consacrer ». De plus, la moitié des développeurs interrogés qui utilisent les infrastructures de cloud disent qu’ils comptent uniquement sur le fournisseur de cloud pour maintenir des normes de sécurité adéquates.
Le rapport laisse toutefois entendre que des progrès sont accomplis. Parmi les personnes interrogées, 81 % des entreprises ayant des pratiques DevSecOps ont déclaré que des plans d’intervention en matière de cybersécurité ont été mis en oeuvre, et ces mêmes groupes sont trois fois plus susceptibles d’offrir une formation en matière de sécurité des applications aux personnes impliquées dans des projets open source.
Au total, 62 % des répondants ayant des programmes DevSecOps ont des plans de gouvernance open-source en place, comparativement à seulement 25 % lorsqu’il n’existe aucun système DevSecOps.
Un autre élément intéressant du rapport est le niveau actuel de mise en oeuvre automatisée des processus. Les configurations de DevOps à maturité sont 350 % plus susceptibles d’utiliser l’automatisation en matière de sécurité que les configurations immatures.
Un domaine d’amélioration, cependant, est la manière dont la cybersécurité est intégrée dans le pipeline DevOps. La majorité des personnes qui n’ont pas de système d’opérations DevOps stable ont tendance à mettre en oeuvre séparément des contrôles de sécurité et des tâches et à prendre des mesures manuelles. Et ce alors que les programmes DevOps matures sont les plus susceptibles de disposer de systèmes de sécurité entièrement intégrés et automatisés.
Ne pas reconnaître l’importance de la sécurité dans une stratégie DevOps est une recette désastreuse. Quelle que soit la vitesse à laquelle une organisation DevOps évolue, si ce qu’elle produit n’est pas favorable à la confidentialité, à l’intégrité et à la disponibilité, elle a échoué » déclare Lu Cortez de Canva. « L’inclusion de la sécurité dans tout ce qui est fait est un élément qui permet à l’entreprise d’atteindre ses objectifs stratégiques. Le DevOps a besoin de sécurité.
