[generation-nt.com] Fortify : l'OSS doit faire des efforts sur la sécurité
Extrait de l'article du site par en date du :
« ''GenerationNT 23/07/2008 15:15 par Fabien B.'' http://www.generation-nt.com/open-source-securite-vulnerabilites-etude-f...
Fortify est une société spécialisée dans la sécurité de solutions informatiques. L'entreprise a récemment publié une étude concernant plusieurs projets Java Open Source. Verdict, selon Fortify, l'OSS a clairement des efforts à fournir dans le domaine de la sécurité.
Fortify vient de publier une étude qui pourrait faire du bruit. La société américaine prétend en effet que les logiciels open source qu'elle a testés présentent non seulement de nombreuses failles de sécurité mais aussi que les équipes de développement ne se focalisent pas assez dessus.
Fortify a effectué un audit sur une dizaine de solutions développées en Java parmi lesquelles le serveur d'application JBoss, la base de données Derby, le framework Hibernate ou encore le conteneur de servlets et serveur web Apache Tomcat. La société a utilisé un outil maison pour analyser automatiquement le code des applications. Lorsqu'une vulnérabilité a été découverte, elle a ensuite été confirmée manuellement par une personne de la société. Fortify aurait ainsi découvert plusieurs dizaines de milliers de problèmes dans les différents projets, notamment des risques d'injection SQL - 15 612 en tout- ou XSS - 22 826. Si Hibernate ne comptait que 23 vulnérabilités, soit moins de 3 pour 1 000 lignes de code, le populaire Tomcat serait moins bien loti avec plus de 6 failles par millier de lignes, soit plusieurs centaines en tout. Le pire proviendrait du projet Hipergate, une suite en ligne collaborative, qui cumulerait à elle seule la majorité des soucis.
Selon Fortify, le problème n'est pas tant la découverte de ces problèmes, mais plutôt la manière dont ils sont ensuite traités. Peu des projets Open Source testés disposent en effet d'un service spécialisé dans la sécurité. Selon la société, il arrive même fréquemment que les nouvelles versions des logiciels testés apportent plus de problèmes qu'elles n'en résolvent. Fortify explique qu'un code source ouvert ne signifie par forcément que de nombreuses personnes compétentes participent et que la solution est plus sécurisée.
Des conclusions à nuancer
La société conseille aux développeurs d'applications Open Source de s'inspirer de techniques des firmes commerciales, notamment en se concentrant plus sur l'aspect sécurité au moment du développement. Fortify, qui est assez critique vis-à-vis des projets qu'elle a testés, ne fait pas que du simple audit mais vend surtout des logiciels destinés à la sécurité. Parmi ceux-ci, nous retrouvons la suite Fortify 360. Celle-ci est composée de plusieurs analyseurs destinés à détecter les vulnérabilités des logiciels : le premier s'occupe de scanner le code source d'une application, le second recherche les failles dans un logiciel en fonctionnement et le dernier est censé protéger les applications déployées. La société fournit aussi, dans sa suite, un module collaboratif pour corriger plus facilement les problèmes rencontrés et un gestionnaire centralisant toutes les informations relevées. Fortify 360 supporte nombre de langages, dont le Java.
On aurait pu s'attendre à ce que la société conseille l'utilisation de logiciels propriétaires mais ce n'est pas réellement le cas. Fortify a les pieds sur terre et préconise plutôt l'utilisation de ses produits pour pallier aux carences de l'Open Source avant un déploiement. Malgré cela, l'étude n'est pas dénuée d'intérêt et révèle un véritable problème pour certains projets Open Source. Si la sécurité n'est parfois pas assez prise en compte, rappelons que le manque de moyens des projets testés reste l'un des facteurs principaux. Ceux-ci ont en effet rarement la possibilité de poster une personne, et encore moins un service entier, à la veille sécuritaire.
Enfin, cette hémorragie virtuelle est peut-être cantonnée à certaines solutions Java puisque Coverity, qui fait sensiblement le même métier que Fortify - c'est à dire de l'analyse de code source et de la vente de produits associés - note une amélioration progressive de la sécurité dans son panel de logiciels OSS, beaucoup plus large que celui retenu par Fortify dans sa dernière étude. »
Lien vers l'article original :
Cette revue de presse sur Internet fait partie du travail de veille mené par l'April dans le cadre de son action de défense et de promotion du logiciel libre. Les positions exposées dans les articles sont celles de leurs auteurs et ne rejoignent pas forcément celles de l'April.
Les articles de presse utilisent souvent le terme « Open Source » au lieu de Logiciel Libre. Le terme Logiciel Libre étant plus précis et renforçant l'importance des libertés, il est utilisé par l'April dans sa communication et ses actions. Cependant, dans la revue de presse nous avons choisi de ne pas modifier les termes employés par l'auteur de l'article original. Même chose concernant l'emploi du terme « Linux » qui est généralement utilisé dans les articles pour parler du système d'exploitation libre GNU/Linux.