Nexus Pro face aux problématiques de l’Open Source

Le premier risque inhérent à l’utilisation de technologies Open Source est la faille de sécurité, en particulier pour les applications critiques.
Il est généralement difficile d’identifier dans quelle partie du développement un composant Open Source vulnérable a été mis en place. Le modifier, le tester et ensuite le redéployer risque de prendre un temps considérable.
En cas de faille de sécurité détectée, Nexus Pro indique à l’administrateur la source et les vulnérabilités connues en un résumé de l’activité, comme indiqué ci-dessous :

Management de la sécurité

La flexibilité et l’augmentation toujours plus importante de l’utilisation de composants Open Source mis à disposition dans le monde sont des atouts, certes, mais ils ne permettent pas de garantir la qualité, la stabilité, la performance, la sécurité et surtout la propriété intellectuelle des logiciels développés. L’entreprise qui utilise de l’Open Source pour ses applications sensibles peut être exposée à des risques imprévus, techniques ou de conformité, et par l’utilisation de licences Open Source, doit fournir son code en plus du produit fini.

Pour avoir un ordre d’idée, le projet Maven, possède à ce jour plus de 300 000 composants Java dans ses dépôts. Il est accédé environ 4 milliards de fois par an par la communauté. De nombreux développeurs téléchargent les composants Open Source sans disposer de moyens pour surveiller ou contrôler leur usage, et généralement ne se renseignent pas sur les éventuelles failles de sécurité pourtant détectées.
Par exemple, en 2009, une faille de sécurité avait été découverte sur l’API de cryptographie Java (« Legion of the Bouncy Castle »), indiquant une vulnérabilité à une attaque distante, mais 2 ans plus tard, plus de 1600 organisations différentes ont néanmoins téléchargé la version vulnérable de ce composant.

Il est nécessaire de mettre en œuvre et de faire appliquer une politique de gestion des licences pour s’assurer que seuls des composants aux licences validées sont intégrés dans les applications.
Sonatype for Nexus Professional est une solution qui aide à gérer les composants Open Source de façon efficace, non intrusive et sans modifier les processus existants.

Pour conclure, en mettant en œuvre une politique de l’Open Source et des outils de gestion adaptés comme Sonatype for Nexus Pro, il est possible de gérer le risque efficacement tout en bénéficiant des avantages des composants Open Source dans les processus de développement. Avec Nexus Pro, il sera possible d’appréhender sereinement les problèmes cités précédemment, de produire un rapport indiquant où est utilisé le composant incriminé et corriger le problème rapidement.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Captcha *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.