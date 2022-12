Les logiciels open source jouent un rôle prépondérant dans la performance de la chaîne logicielle, mais la sécurité demeure une source permanente d’appréhension pour les entreprises

décembre 2022 par VMware

Parmi les principaux enseignements du rapport State of the Software Supply Chain : Open Source Edition 2022, il apparaît que les logiciels open source (Open source software - OSS) répondent pleinement aux attentes de l’ensemble des parties prenantes en matière d’efficience (76 %), de flexibilité (60 %) et de productivité des développeurs (52 %).

Pourtant, cette année, un recul de 95 % à 90 % des déploiements en environnements de production a été enregistré en raison de préoccupations et de risques majeurs. Deux des trois principales inquiétudes vis-à-vis des OSS concernent la sécurité, et en particulier la capacité à identifier et corriger les vulnérabilités. La dépendance vis-à-vis de la communauté pour patcher des bugs et corriger des vulnérabilités occupe ainsi la première place du podium pour 61 % des répondants, contre 56 % l’année dernière. Viennent ensuite la hausse des risques de sécurité (53 % contre 47 % en 2021), et le manque de SLA vis-à-vis des patches issus de la communauté (50 % contre 42 % l’année précédente).

Le packaging des OSS, à savoir leur adaptation pour un usage interne, est essentiel pour assurer la sécurité de la chaîne logicielle. Cependant, ce processus est devenu une importante source de complexité et de préoccupation. Le rapport révèle que dans la plupart des entreprises, le packaging des OSS engendre un nombre trop important d’outils et de tâches manuelles, impliquant l’intervention de diverses équipes. Dès lors, cette complexité constitue un frein à la sécurisation des chaînes logicielles.

Interrogés quant aux fonctionnalités susceptibles de renforcer la sécurité :

• 60 % des répondants apprécieraient un accès immédiat à des patches de sécurité dignes de confiance pour leurs applications, environnements d’exécution, dépendances, et composants de systèmes d’exploitation,

• 55 % d’entre eux réclament une visibilité centralisée pour simplifier les audits de sécurité,

• Et 51 % veulent automatiser la détection des failles de sécurité (CVE) et des virus pour chaque conteneur

Afin de progresser sur ce terrain sur les 12 prochains mois, les entreprises devront donc simplifier leur processus de packaging pour le rendre plus efficace et envisager d’en confier la responsabilité à une seule équipe chargée de l’automatisation des tâches et de a consolidation des outils.