La chaîne d'approvisionnement logicielle est devenue une préoccupation essentielle pour les entreprises qui font face à un paysage numérique de plus en plus complexe. Un récent rapport de JFrog met en lumière les défis croissants auxquels les organisations sont confrontées pour sécuriser leurs écosystèmes logiciels.
Le rapport intitulé « État de l'Union de la Chaîne d'Approvisionnement Logicielle 2024 », publié la semaine dernière, indique que les chaînes d'approvisionnement logicielles d'aujourd'hui sont variées et globales. Environ 53 % des organisations utilisent entre quatre et neuf langages de programmation, tandis qu'un impressionnant 31 % s'appuient sur plus de dix langages.
Cette complexité a entraîné une explosion de packages et de bibliothèques open source pour le développement d'applications. Selon le rapport, « Docker et npm ont été les types de packages les plus contribué, avec une croissance des contributions à PyPI, probablement en raison des cas d'utilisation de l'IA/ML. » Cependant, cette richesse de ressources expose les organisations à des risques potentiels.
En 2023, les chercheurs en sécurité ont signalé plus de 26 000 nouvelles Vulnérabilités et Expositions Communes (CVE), poursuivant une tendance à la hausse des vulnérabilités. Le rapport précise que les vulnérabilités les plus courantes cette année étaient les Scripts Inter-Sites, les Injections SQL et les Écritures Hors Limites, avec un recours croissant à la Contrefaçon de Requête Inter-Sites.
Des Scores CVSS Trompeurs Cachent des Risques Réels
Shachar Menashe, directeur senior de la recherche en sécurité chez JFrog, a souligné la nature trompeuse des scores du Système de Notation des Vulnérabilités Communes (CVSS) en ce qui concerne l'exploitabilité réelle. « Les scores CVSS ne tiennent pas compte des vecteurs d'attaque dépendant du contexte. Par conséquent, une vulnérabilité facilement exploitable reçoit le même score qu'une vulnérabilité qui n'est exploitable que dans des conditions rares, » a expliqué Menashe. Le rapport révèle qu’un impressionnant 74 % des CVE élevés et critiques sur les 100 premières images de DockerHub ne sont pas exploitables, soulignant la nécessité d'une évaluation approfondie des risques basée sur le contexte et la configuration spécifiques de l'organisation.
Risques Cachés dans les Chaînes d'Approvisionnement Logicielles
Le rapport identifie les erreurs humaines et les secrets exposés comme des vulnérabilités significatives au sein des chaînes d'approvisionnement logicielles. Menashe a souligné les avantages du scanning au niveau binaire, en déclarant : « Scanner et valider ce qui sera exécuté en production peut révéler des expositions qui ne se manifestent qu'une fois le code compilé. » Des problèmes tels que des secrets divulgués échappent souvent à la détection dans le code source mais apparaissent dans l'image finale en raison du pipeline CI/CD.
Des Approches de Sécurité Fragmentées Épuisent les Ressources
Malgré une sensibilisation croissante, les organisations font souvent face à des protocoles de sécurité fragmentés qui gaspillent du temps et des ressources. Le rapport a révélé que 60 % des professionnels passent quatre jours ou plus par mois à remédier aux vulnérabilités des applications.
Menashe recommande de prioriser les vulnérabilités en investissant dans des solutions de sécurité qui contextualisent les résultats de scan, affirmant : « Simplement signaler les CVE n'est pas suffisant. Un scanner contextuel, qu'il soit statique ou dynamique, est essentiel. Ignorer le contexte entraîne environ 75 % de faux positifs. »
Le rapport aborde également les défis posés par un nombre accablant d'outils de sécurité. Menashe a noté qu'un excès de solutions ponctuelles peut créer des lacunes de couverture et provoquer une fatigue d'alerte, entravant les flux de travail de développement.
L'IA et l'Apprentissage Automatique Introduisent de Nouveaux Risques
L'essor de l'intelligence artificielle (IA) et de l'apprentissage automatique (ML) dans le développement logiciel entraîne ses propres risques. Bien que 94 % des organisations examinent la sécurité des modèles d'apprentissage automatique open source, près de 20 % s'abstiennent d'utiliser l'IA/ML pour la création de code en raison de préoccupations liées à la sécurité.
Menashe prévoit que l'utilisation de l'IA pour le codage augmentera mais met en garde contre les risques de sécurité associés. « Bien que GenAI puisse considérablement accroître la productivité des développeurs, il est crucial pour eux de comprendre que ces pratiques peuvent menacer la sécurité et la conformité, car GenAI échoue souvent à produire un code sécurisé, » a-t-il averti.
Il met également en garde les DSI sur le risque que les attaquants exploitent la tendance de l'IA à fabriquer des bibliothèques inexistantes, permettant ainsi la création de packages malveillants que les développeurs pourraient utiliser sans le savoir.
Recommandations Clés pour Sécuriser les Chaînes d'Approvisionnement Logicielles
Alors que les organisations naviguent dans le paysage évolutif des chaînes d'approvisionnement logicielles, le rapport de JFrog sert de rappel critique pour prioriser la sécurité et adopter une approche complète de la gestion des risques.
Menashe propose des recommandations clés pour les dirigeants informatiques :
1. Restreindre les téléchargements directs de packages logiciels open source (OSS) depuis Internet, en utilisant une solution de gestion des artefacts pour examiner et sécuriser les artefacts avant qu'ils n'atteignent l'environnement de développement.
2. Gérer tous les intrants et extrants impliqués dans les releases logicielles au sein d'un système unifié intégrant une sécurité applicative de bout en bout pour garantir l'application cohérente des politiques à travers les équipes.
3. Mettre en œuvre des mesures anti-altération telles que la signature du code pour maintenir l'intégrité des versions, garantissant que seuls les composants sécurisés et destinés sont inclus à mesure que le logiciel mûrit.
En adoptant un scanning contextuel, en consolidant les efforts de sécurité et en abordant proactivement les risques liés au code généré par l'IA, les entreprises peuvent renforcer leurs chaînes d'approvisionnement logicielles et se protéger contre des menaces cachées.
Le rapport de JFrog souligne l'urgence d'adopter des approches complètes et vigilantes pour la sécurité de la chaîne d'approvisionnement logicielle face à une surface d'attaque de plus en plus étendue.
Classement
