Whitesource, qui édite une plateforme de gestion de la sécurité et de la conformité des licences open source, a publié son rapport sur l’état des vulnérabilités dans l’open source en 2020. Interrogeant près de 650 développeurs et se basant sur différentes données collectées, la société a constaté une forte croissance des failles sur les logiciels open source. Plus de 6000 vulnérabilités ont été recensées sur la seule année 2019, soit une progression de plus de 50% sur un an (4000 en 2018). Cet afflux est à mettre en parallèle avec l’adoption généralisée des composants open source et le développement des communautés.

Une exposition plus grande aux menaces donc, mais également une vigilance accrue. En d’autres termes, les bugs existaient, mais ils sont plus visibles maintenant. Et ils sont plus rapidement corrigés, 85% des failles sont publiées avec un correctif disponible. L’étude salue ici les efforts et les investissements des acteurs de l’IT dans la sécurité des projets open source. Parmi les brèches les plus fréquentes, on retrouve le cross-site scripting (XSS), l’entrée utilisateur non contrôlée (inproper imput validation) et l’erreur tampon (buffer error).

C le plus touché, Python épargné

Dans le détail des langages open source les plus touchés, C présente toujours le pourcentage le plus élevé de vulnérabilités car il est le plus populaire en termes de lignes de code, mais la tendance est à la baisse car d'autres langages sont devenus plus populaires. Petit bémol sur la notoriété, car PHP connait une hausse significative des vulnérabilités, sans pour autant une montée d’intérêt proportionnelle. A l’inverse, l’engouement pour Python ne provoque pas une élévation des vulnérabilités. « Il faut espérer que ce bon résultat provient d’un codage sécurisé et non d’un laxisme latent dans les projets Python », relativise l’étude.

Dans les points négatifs, le rapport regrette que seulement 84% des vulnérabilités des logiciels open source apparaissent dans le NVD (national vulnerabilities database), référentiel du gouvernement américain sur les failles. Elles sont disponibles souvent avec du retard, ajoute l’étude. Quand les bugs sont signalés en dehors du NVD, seulement 29% d’entre elles finissent par apparaitre dans la base de données. Il y a donc un problème de centralisation des données sur les failles, ce qui peut faire perdre du temps pour travailler sur la correction des vulnérabilités et la diffusion de l’information au plus grand nombre.