Logiciels open source : GitHub fait le point sur 2020 et les temps de détections des vulnérabilités

Guillaume Belfiore
Lead Software Chronicler
03 décembre 2020 à 15h15
2
Github

Selon des chercheurs de GitHub, il serait nécessaire d'être plus vigilant lors de la publication de codes sur la plateforme, afin de réduire le temps de découverte des vulnérabilités.

Racheté par Microsoft en juin 2018, la plateforme de GitHub constitue aujourd'hui le plus grand répertoire de développement open source. Dans un rapport annuel, l'équipe fait le point de 2020 et revient sur les enjeux de la sécurité.

GitHub, toujours en pleine croissance.

Entre octobre 2019 et septembre 2020, GitHub a accueilli de nouveaux utilisateurs, comptant aujourd'hui plus de 56 millions de développeurs. Au fil des années, GitHub a acquis une réputation de qualité, à tel point que 72 % des société classées dans le Fortune 50 utilisent GitHub Enterprise.

Sur cette période de douze mois, plus de 60 millions de nouveaux répertoires ont été créés. Au total, 1,9 milliard de contributions ont été comptabilisées. Les développeurs localisés aux États-Unis, en Asie et en Europe sont ceux qui contribuent le plus à la plateforme avec respectivement des taux d'utilisation de 34 %, 30 % et 27 %.

Par ailleurs, la crise sanitaire a rendu cette année 2020 un peu particulière. GitHub explique en effet avoir observé un pic d'activité durant le confinement mis en place dans la plupart des pays du globe entre mars et avril dernier.

La sécurité, un enjeux crucial

Revenant sur la sécurité des données, Github explique qu'il est aujourd'hui bien difficile de trouver un scénario dans lequel nos données ne transitent pas à travers au moins un composant open source. Cela inclut les systèmes bancaires ou les services de santé. Pour les chercheurs, il devient donc primordial de s'assurer de la sécurité de ces code en libre accès.

Et pour cause, dans les faits, il se passerait en moyenne quatre années entre la publication d'une portion de code vulnérable et sa découverte par la communauté impliquée sur le projet.

Dans 17 % des cas, la vulnérabilité est spécifiquement conçue dans un but malveillant, et afin d'être exploitée. Le reste du temps, les failles identifiées au sein des projets sur GitHub sont le fruits d'erreurs commises dans le code source.

Une fois la brèche repérée, il faut généralement à peine plus d'un mois (4,4 semaines) à la communauté pour déployer un correctif. À cela s'ajoutent 10 semaines, le temps moyen pour alerter la communauté quant à la disponibilité d'une mise à jour de sécurité. Cette dernière est toutefois appliquée très vite, en une semaine généralement.

Pour finir, soulignons que parmi les technologies open source les plus utilisées sur GitHub, on compte JavaScript (94%), Ruby (90,2%) mais également le framework .NET (89,8%).

Source : ZDnet US, GitHub

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Haut de page

Sur le même sujet

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (2)

ti4444
Une question bête, normalement avec l’intégration continue, on peut faire des tests de mais il est aussi possible de faire des contrôles de sécurité non ?
mcbenny
Quand tu ecris un test pour ton code, tu connais le code, le test est essentiellement pour s’assurer que les modifications ultérieures du code ne risquent pas d’impacter son fonctionnement initial.<br /> Une faille de sécurité c’est généralement un chemin détourné, qui donc n’est pas testé par les tests initaux. Sinon, la faille serait révélée et patchée immédiatement, et le test deviendrait inutile.<br /> Une faille de sécurité se trouve par analyse logique du code et par «&nbsp;mauvaise manipulation&nbsp;» intentionnelle (la plupart du temps).
Voir tous les messages sur le forum