Fortify : l'OSS doit faire des efforts sur la sécurité

Le par  |  4 commentaire(s) Source : ARS Technica
logo open source

Fortify est une société spécialisée dans la sécurité de solutions informatiques. L'entreprise a récemment publié une étude concernant plusieurs projets Java Open Source. Verdict, selon Fortify, l'OSS a clairement des efforts à fournir dans le domaine de la sécurité.

logo open sourceFortify vient de publier une étude qui pourrait faire du bruit. La société américaine prétend en effet que les logiciels open source qu'elle a testés présentent non seulement de nombreuses failles de sécurité mais aussi que les équipes de développement ne se focalisent pas assez dessus.

Fortify a effectué un audit sur une dizaine de solutions développées en Java parmi lesquelles le serveur d'application JBoss, la base de données Derby, le framework Hibernate ou encore le conteneur de servlets et serveur web Apache Tomcat. La société a utilisé un outil maison pour analyser automatiquement le code des applications. Lorsqu'une vulnérabilité a été découverte, elle a ensuite été confirmée manuellement par une personne de la société. Fortify aurait ainsi découvert plusieurs dizaines de milliers de problèmes dans les différents projets, notamment des risques d'injection SQL - 15 612 en tout- ou XSS - 22 826. Si Hibernate ne comptait que 23 vulnérabilités, soit moins de 3 pour 1 000 lignes de code, le populaire Tomcat serait moins bien loti avec plus de 6 failles par millier de lignes, soit plusieurs centaines en tout. Le pire proviendrait du projet Hipergate, une suite en ligne collaborative, qui cumulerait à elle seule la majorité des soucis.

Selon Fortify, le problème n'est pas tant la découverte de ces problèmes, mais plutôt la manière dont ils sont ensuite traités. Peu des projets Open Source testés disposent en effet d'un service spécialisé dans la sécurité. Selon la société, il arrive même fréquemment que les nouvelles versions des logiciels testés apportent plus de problèmes qu'elles n'en résolvent. Fortify explique qu'un code source ouvert ne signifie par forcément que de nombreuses personnes compétentes participent et que la solution est plus sécurisée.


Des conclusions à nuancer
La société conseille aux développeurs d'applications Open Source de s'inspirer de techniques des firmes commerciales, notamment en se concentrant plus sur l'aspect sécurité au moment du développement. Fortify, qui est assez critique vis-à-vis des projets qu'elle a testés, ne fait pas que du simple audit mais vend surtout des logiciels destinés à la sécurité. Parmi ceux-ci, nous retrouvons la suite Fortify 360. Celle-ci est composée de plusieurs analyseurs destinés à détecter les vulnérabilités des logiciels : le premier s'occupe de scanner le code source d'une application, le second recherche les failles dans un logiciel en fonctionnement et le dernier est censé protéger les applications déployées. La société fournit aussi, dans sa suite, un module collaboratif pour corriger plus facilement les problèmes rencontrés et un gestionnaire centralisant toutes les informations relevées. Fortify 360 supporte nombre de langages, dont le Java.

On aurait pu s'attendre à ce que la société conseille l'utilisation de logiciels propriétaires mais ce n'est pas réellement le cas. Fortify a les pieds sur terre et préconise plutôt l'utilisation de ses produits pour pallier aux carences de l'Open Source avant un déploiement. Malgré cela, l'étude n'est pas dénuée d'intérêt et révèle un véritable problème pour certains projets Open Source. Si la sécurité n'est parfois pas assez prise en compte, rappelons que le manque de moyens des projets testés reste l'un des facteurs principaux. Ceux-ci ont en effet rarement la possibilité de poster une personne, et encore moins un service entier, à la veille sécuritaire.

Enfin, cette hémorragie virtuelle est peut-être cantonnée à certaines solutions Java puisque Coverity, qui fait sensiblement le même métier que Fortify - c'est à dire de l'analyse de code source et de la vente de produits associés - note une amélioration progressive de la sécurité dans son panel de logiciels OSS, beaucoup plus large que celui retenu par Fortify dans sa dernière étude.
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #282391
Moui ... plus c'est gros plus ça passe, là c'est tellement énorme que ça va faire le tour du net.

Ce ne sont pas les premiers à faire mouliner des logiciels d'analyse sur les code source et les binaires, et tous les avertissements ne sont pas pertinents. La fameuse faille de sur l'openssh patché par debian trouve son origine dans le nettoyage du code source de warnings donnés par Valgrind, un analyseur de code source.

Ces outils de diagnostic sont utiles pour les devs, mais mis entre les mains de marketeux ça perd toute sa pertinence
Le #282411
je connais 2 ou 3 lecteurs de g-nt qui vont se lacher
Le #282561
Quelle est la crédibilité d'une société qui vend son bout de gras...
de plus le: "La société a utilisé un outil maison pour analyser automatiquement le code des applications. Lorsqu'une vulnérabilité a été découverte, elle a ensuite été confirmée manuellement par une personne de la société."
associé au: "Fortify aurait ainsi découvert plusieurs dizaines de milliers de problèmes dans les différents projets"
fait une peu sourire
Le #282681
C'est peut etre une société secréte qui a quelque millions de salariés travaillant dans des cages souterraines
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]