Nous Contacter

Les bibliothèques open-source au coeur des applications

Quand on parle d’open-source, on pense souvent aux métriques telles que les étoiles GitHub ou le nombre de téléchargements. Mais en réalité, elles ne reflètent qu’une partie de l’utilisation réelle de ces composants dans les applications en production. Un nouveau rapport de la Linux Foundation, en partenariat avec l’Open Source Security Foundation (OpenSSF) et l’université de Harvard, lève le voile sur l’état des lieux des bibliothèques open-source au coeur des logiciels d’entreprise.

Une analyse approfondie basée sur des données concrètes

Le rapport « Census III of Free and Open Source Software: Application Libraries » s’appuie sur plus de 12 millions de points de données issus d’outils d’analyse de composition logicielle (SCA) et de sécurité applicative tels que Black Duck, FOSSA, Snyk et Sonatype. Ces outils sont déployés dans plus de 10 000 entreprises, offrant ainsi une vue représentative des pratiques du marché.

Les métriques habituelles comme les étoiles GitHub ou les téléchargements ne donnent qu’une vue partielle de l’utilisation réelle des bibliothèques open-source.

– Extrait du rapport Census III

Rust en plein essor, Python 2 encore trop présent

Parmi les tendances majeures révélées, on note une forte progression de l’adoption du langage Rust, réputé pour sa sécurité mémoire. A l’inverse, Python 2, officiellement en fin de vie depuis janvier 2020, reste encore trop utilisé malgré les risques de sécurité associés à cette version obsolète.

Le manque de standardisation dans le nommage des composants

Un autre point d’attention soulevé par le rapport concerne l’absence de conventions claires et uniformes pour nommer les composants open-source. Cette situation augmente les risques de confusion de dépendances et d’injection de paquets malveillants, des techniques d’attaque de plus en plus fréquentes.

  • Les projets open-source gagneraient à définir et respecter des règles communes de nommage
  • Les entreprises doivent renforcer leur vigilance sur les dépendances tierces intégrées
  • Les outils d’analyse de composition logicielle sont essentiels pour détecter les vulnérabilités

Un rapport essentiel pour guider les stratégies open-source

Au final, ce rapport très complet offre des insights précieux à tous les acteurs de l’écosystème open-source : développeurs, éditeurs, intégrateurs, entreprises utilisatrices… Des données factuelles indispensables pour évaluer les risques, prioriser les actions et définir les bonnes pratiques en matière de sélection, d’intégration et de maintenance des composants open-source, dans un contexte où la sécurité applicative est plus que jamais un enjeu majeur.

Le rapport « Census III of Free and Open Source Software: Application Libraries » est disponible gratuitement au téléchargement sur le site de la Linux Foundation. Un document de référence à consulter absolument pour tous les professionnels IT soucieux d’optimiser leur stratégie open-source.

Précédent

Startup Vambe Explose son ARR Après un Pivot vers l’IA Conversationnelle

Suivant

Des Dirigeants d’Entreprise Ciblés par le Logiciel Espion Pegasus

À lire également