Fortify a effectué un audit sur une dizaine de solutions développées en Java parmi lesquelles le serveur d'application JBoss, la base de données Derby, le framework Hibernate ou encore le conteneur de servlets et serveur web Apache Tomcat. La société a utilisé un outil maison pour analyser automatiquement le code des applications. Lorsqu'une vulnérabilité a été découverte, elle a ensuite été confirmée manuellement par une personne de la société. Fortify aurait ainsi découvert plusieurs dizaines de milliers de problèmes dans les différents projets, notamment des risques d'injection SQL - 15 612 en tout- ou XSS - 22 826. Si Hibernate ne comptait que 23 vulnérabilités, soit moins de 3 pour 1 000 lignes de code, le populaire Tomcat serait moins bien loti avec plus de 6 failles par millier de lignes, soit plusieurs centaines en tout. Le pire proviendrait du projet Hipergate, une suite en ligne collaborative, qui cumulerait à elle seule la majorité des soucis.
Selon Fortify, le problème n'est pas tant la découverte de ces problèmes, mais plutôt la manière dont ils sont ensuite traités. Peu des projets Open Source testés disposent en effet d'un service spécialisé dans la sécurité. Selon la société, il arrive même fréquemment que les nouvelles versions des logiciels testés apportent plus de problèmes qu'elles n'en résolvent. Fortify explique qu'un code source ouvert ne signifie par forcément que de nombreuses personnes compétentes participent et que la solution est plus sécurisée.
Des conclusions à nuancer
La société conseille aux développeurs d'applications Open Source de s'inspirer de techniques des firmes commerciales, notamment en se concentrant plus sur l'aspect sécurité au moment du développement. Fortify, qui est assez critique vis-à-vis des projets qu'elle a testés, ne fait pas que du simple audit mais vend surtout des logiciels destinés à la sécurité. Parmi ceux-ci, nous retrouvons la suite Fortify 360. Celle-ci est composée de plusieurs analyseurs destinés à détecter les vulnérabilités des logiciels : le premier s'occupe de scanner le code source d'une application, le second recherche les failles dans un logiciel en fonctionnement et le dernier est censé protéger les applications déployées. La société fournit aussi, dans sa suite, un module collaboratif pour corriger plus facilement les problèmes rencontrés et un gestionnaire centralisant toutes les informations relevées. Fortify 360 supporte nombre de langages, dont le Java.
On aurait pu s'attendre à ce que la société conseille l'utilisation de logiciels propriétaires mais ce n'est pas réellement le cas. Fortify a les pieds sur terre et préconise plutôt l'utilisation de ses produits pour pallier aux carences de l'Open Source avant un déploiement. Malgré cela, l'étude n'est pas dénuée d'intérêt et révèle un véritable problème pour certains projets Open Source. Si la sécurité n'est parfois pas assez prise en compte, rappelons que le manque de moyens des projets testés reste l'un des facteurs principaux. Ceux-ci ont en effet rarement la possibilité de poster une personne, et encore moins un service entier, à la veille sécuritaire.
Enfin, cette hémorragie virtuelle est peut-être cantonnée à certaines solutions Java puisque Coverity, qui fait sensiblement le même métier que Fortify - c'est à dire de l'analyse de code source et de la vente de produits associés - note une amélioration progressive de la sécurité dans son panel de logiciels OSS, beaucoup plus large que celui retenu par Fortify dans sa dernière étude.
Source :
ARS Technica
