Sonatype a livré la 6ème édition de State of the Software Supply Chain, son état de l’art sur la chaîne logicielle du développement basé sur l'open source. Celui-ci s'appuie sur les données de 24 000 projets et de 5 600 équipes de développement dans les entreprises. « Nous avons observé une croissance à deux et trois chiffres dans les écosystèmes de composants open source depuis plus d’une décennie », expose l’éditeur de la plateforme de gouvernance open source Nexus. En 2020, les développeurs du monde entier accéderont à plus de 1 500 milliards de composants logiciels open source et de conteneurs pour la bonne et simple raison que cela leur permet d'accélérer le rythme de l'innovation, pointe Sonatype. « Les équipes d’ingénierie IT cherchent à innover plus rapidement, à renforcer la sécurité et elles utilisent un volume massif de bibliothèques open source. Cela conduit à une dépendance croissante vis-à-vis des bibliothèques logicielles open source venant de tiers », soulignent les auteurs du rapport. « Ces artefacts sont utilisés comme des blocs de construction réutilisables, qui sont versés dans des référentiels publics (npm, Maven Central, PyPI, NuGet Gallery, RubyGems, etc.) où ils sont librement empruntés par des millions de développeurs à la poursuite d’une innovation plus rapide. Telle est la définition de la chaîne d'approvisionnement logicielle moderne ». Pour la 2ème année, ce rapport de Sonatype a été réalisé en collaboration avec Gene Kim, fondateur de IT Revolution et Stephen Magill, CEO de MuseDev.
Premier rappel, l’open source est bien loin d’être épargné par les questions de sécurité. Les 12 derniers mois ont vu une augmentation de 430% des cyberattaques de nouvelle génération visant à infiltrer ses composants. Or c’est un moyen extrêmement efficace pour s'introduire à l'échelle dans la supply chain logicielle. Ces attaques sont possibles pour trois raisons. D’abord, les projets open source s’appuient sur la contribution de milliers de volontaires et il est difficile d’opérer des discriminations entre les membres d’une communauté en évaluant les bonnes ou mauvaises intentions. Ensuite, les projets intègrent des centaines, voire des milliers de dépendances avec d’autres projets open source qui peuvent contenir des vulnérabilités. Enfin, l’esprit de l’open source repose sur une confiance partagée au sein d’une communauté mondial d’individus, ce qui crée un environnement fertile dans lequel les mauvais acteurs peuvent en profiter pour s'infiltrer avec une surprenante facilité.
Un package npm typique charge en moyenne 79 packages tiers
L’étude de Sonatype cite les chercheurs de l’Université Darmstadt qui, en 2019, ont constaté qu’un package npm typique contenait un nombre anormalement élevé de dépendances, avec le chargement d’en moyenne 79 packages tiers de 39 mainteneurs différents. Ces chercheurs ont également trouvé que 391 contributeurs parmi les plus influents affectent plus de 10 000 composants à travers un réseau complexe de dépendances. « Si des adversaires réussissaient à identifier des points d’entrée dans des projets supportés par l’un de ces 391 mainteneurs, ils pourraient considérablement élargir l’ouverture et l’impact de leurs attaques sur la chaîne open source », pointe le State of the Software Supply Chain 2020.
Le rapport analyse également la performance avec laquelle les équipes gèrent les chaînes logicielles open source. Il constate que les plus performantes sont plus confiantes sur la conformité et la sécurité de leurs composants open source. Par rapport aux moins performantes, leurs déploiements sont 15 fois plus fréquents. Ces équipes détectent 26 fois plus vite les composants vulnérables et interviennent également 26 fois plus vite pour y remédier. Et il faut à leurs développeurs 5,7 fois moins de temps pour être productifs lorsqu’ils changent d’équipes. L’analyse met en évidence une série d'autres indicateurs de performances.
11% des OSS ont au moins une faille connue
Un chapitre du rapport est consacré à l’intégrité de la chaîne logicielle. Il y apparaît que 11% des logiciels open source (OSS) utilisés dans les applications ont au moins une faille de sécurité connue et que 21% des équipes de développement ont subi une intrusion liée à l’open source au cours des 12 derniers mois. Particulièrement intéressant, le State of the Software Supply Chain 2020 (43 pages) apporte une multiplicité d’informations sur les différents aspects du paysage de la création open source.