• # La bombe à retardement des librairies open source non mises à jour

    Posté par (site web personnel) . En réponse à la dépêche Revue de presse de l'April pour la semaine 25 de l'année 2021. Évalué à 6.

    C’est une menace latente mais bien réelle sur laquelle alerte Veracode dans son 11eme rapport « State of Software Security : Open Source Edition » (sur inscription). En effet pour le spécialiste des tests applicatifs, un champ de mines se cache sous le capot des logiciels modernes. Ces bombes à retardement proviennent des bibliothèques open source et de l’absence d’actualisation du code. En général, les développeurs se servent de ces librairies pour créer leurs applications, mais sans se soucier de la qualité du code, ni de la sécurité.

    L'article peut laisser penser qu'utiliser des librairies libre introduit une menace dans un logiciel.

    Avant les logiciels fermés avaient sûrement le même problème en copiant/collant du code sans se soucier des licences. La différence est que maintenant il y a un meilleur suivi des "dépendances", leur version, et détecter les vulnérabilités connues est plus aisé (peut être automatisé et GitHub le fait très bien !).

    Pour moi, c'est un progrès en terme de sécurité. Il n'y a pas plus du vulnérabilités qu'avant. C'est uniquement la communication sur ces vulnérabilités connues qui est meilleure !

    Hé oui, avoir des dépendances demande de les tenir à jour. Roh là là, déjà le code est gratuit, mais en plus il faut travailler pour les tenir à jour ! Remboursez le logiciel libre gratuit !