Les outils comme l’analyse de composition logicielle jouent un rôle crucial pour identifier et sécuriser les dépendances. Cependant, travailler avec des logiciels open source impose des défis différents par rapport aux logiciels propriétaires.
Chris Hughes, conseiller en sécurité chez Endor Labs, une startup spécialisée dans la sécurité des logiciels open source, a partagé ses réflexions avec TechRepublic sur l’état actuel de la sécurité des logiciels open source et ses perspectives pour l’année à venir.
“Les organisations commencent à mettre en place des éléments fondamentaux comme la gouvernance pour comprendre ce qu’elles utilisent en termes de logiciels open source.” – Chris Hughes
Tendances de la sécurité open source pour 2025 #
Chris Hughes définit le logiciel open source comme un logiciel dont le code source est librement accessible et peut être utilisé pour créer d’autres projets, avec éventuellement certaines restrictions. Selon une étude de la Harvard Business School, les organisations devraient investir 8,8 trillions de dollars en technologie et en main-d’œuvre pour recréer les logiciels utilisés dans les entreprises si le logiciel open source n’existait pas.
Les estimations indiquent que 70 à 90 % des applications intègrent du open source, et environ 90 % de ces bases de code sont entièrement composées de logiciels open source. Pour 2025, Hughes prévoit :
À lire Découvrez comment Sam Altman anticipe l’avenir de l’IA et la superintelligence d’ici 2025
- Une adoption généralisée du logiciel open source accompagnée d’attaques de plus en plus sophistiquées de la part d’acteurs malveillants.
- Les organisations continueront à mettre en place une gouvernance de base du logiciel open source.
- Davantage d’entreprises utiliseront des outils open source et commerciaux pour comprendre leur consommation de logiciels open source.
- Les organisations effectueront une consommation de logiciels open source éclairée sur les risques.
- Les entreprises continueront à exiger la transparence des fournisseurs concernant les logiciels open source utilisés dans leurs produits, bien que sans mandats généralisés.
- L’intelligence artificielle continuera d’influencer la sécurité des applications et le logiciel open source de plusieurs manières.
- Les attaquants cibleront les bibliothèques et projets open source d’IA largement utilisés pour lancer des attaques sur la chaîne d’approvisionnement.
- La gouvernance du code d’IA deviendra plus courante, permettant une meilleure visibilité sur les modèles d’IA.
Les organisations souhaitent de plus en plus savoir à quel point leur logiciel open source est sécurisé, y compris des questions sur sa maintenance et la rapidité de réponse aux vulnérabilités. Hughes a souligné une attaque en avril 2024 qui a menacé des utilitaires open source, notamment en ouvrant une porte dérobée dans l’utilitaire XZ Utils.
L’impact de l’IA sur la sécurité open source #
En octobre 2024, l’Open Source Initiative a établi une définition pour l’IA open source. Cette définition repose sur quatre éléments clés : la liberté d’utiliser, d’étudier, de modifier et de partager le système à des fins diverses.
Hughes a affirmé que cette définition est essentielle en raison de l’essor de plateformes de distribution comme Hugging Face. Ces modèles d’IA, en particulier les open source, sont largement utilisés par de nombreuses organisations et individus à travers le monde.
Les grandes entreprises ont souvent plus de facilité à discuter de manière transparente avec leurs fournisseurs sur l’ensemble de leur chaîne d’approvisionnement logicielle. En revanche, les petites entreprises peuvent faire face à des difficultés croissantes pour obtenir de la visibilité sur les modèles d’IA utilisés dans leurs logiciels.
À lire Découvrez comment l’E2EE transforme votre expérience de messagerie RCS
CISA et la sécurité du développement des logiciels open source #
En mars 2024, la CISA a finalisé un formulaire d’auto-attestation pour le développement de logiciels sécurisés, destiné aux développeurs de logiciels utilisés par le gouvernement fédéral américain. Les agences fédérales peuvent également demander d’autres attestations similaires.
Du côté commercial, les organisations pourraient intégrer des exigences similaires dans leurs processus d’approvisionnement. Bien qu’un certain niveau de confiance soit toujours nécessaire, la discussion sur la sécurité des logiciels open source est devenue plus fréquente depuis les attaques récentes sur des utilitaires open source.
Solutions pour l’avenir de la sécurité des logiciels open source #
Pour 2025, il ne suffira pas de réaliser une analyse de composition logicielle, selon Hughes. Les professionnels de l’IT et de la sécurité doivent comprendre que la complexité croissante des logiciels entraîne une augmentation des vulnérabilités, rendant la tâche des développeurs de plus en plus ardue.
Des entreprises comme Endor Labs offrent des insights sur les dépendances au sein du code open source, y compris les dépendances indirectes ou transitives. Cela peut être un atout considérable du point de vue de la conformité et peut alléger le fardeau sur les équipes de développement.
À lire accélérez vos applications low-code avec qt accelerate : le futur à portée de main
La sécurité des logiciels open source sera un enjeu crucial dans les années à venir, nécessitant une attention particulière de la part des entreprises pour naviguer dans ce paysage complexe et en constante évolution.
Super article ! J’aimerais savoir si ces avancées seront suffisantes pour contrer les cyberattaques ?
Les gouvernances de base, c’est bien, mais qui va les appliquer ? 😅
Chris Hughes a l’air d’avoir une bonne vision. Mais est-ce que ça ne reste pas que des belles paroles ?
Merci pour ces infos, je vais en parler à mon équipe !
Vous pensez que l’IA va vraiment aider ou c’est juste une mode ? 🤔
Je me demande si les petites entreprises pourront suivre le rythme des grandes.
Vivement 2025 pour voir si tout ça se concrétise ! 🎉
Des attaques plus sophistiquées ? Ça me fait peur !
Pourquoi on parle jamais de la sécurité des bibliothèques open source ?
Le terme « open source » est souvent mal compris, non ?
J’adore l’idée de gouvernance, mais ça va prendre du temps à mettre en place.
Est-ce que l’IA va remplacer les développeurs à long terme ? 😮
Je pense que la transparence des fournisseurs est essentielle. Mais qui va vérifier ?
Merci pour cet article, très instructif !
Les risques liés aux dépendances sont souvent sous-estimés.
Ça fait plaisir de voir une prise de conscience sur la sécurité des logiciels open source.
Est-ce que quelqu’un a déjà essayé ces outils d’analyse de composition logicielle ?
J’espère que l’Open Source Initiative va continuer dans cette direction.
Ça serait bien d’avoir plus de formations sur la sécurité open source !
Une porte dérobée dans XZ Utils ? Ça fait froid dans le dos ! 😱
Ce serait bien d’avoir des exemples concrets d’entreprises qui ont réussi.
Vraiment hâte de voir comment l’IA va influencer tout ça !
Est-ce que les gouvernements vont enfin prendre ce sujet au sérieux ?
Pourquoi ne pas imposer des standards de sécurité pour tous les logiciels open source ?