Utilisation de composants présentant des vulnérabilités connues
La plupart des applications utilisent un grand nombre de composants tiers. Ces composants offrent toutes sortes de fonctionnalités, telles que l'enregistrement, la création de modèles, l'accès aux bases de données et bien plus encore.
Cela facilite considérablement le développement de logiciels et permet de gagner beaucoup de temps ; cependant, ces composants sont également fabriqués par des personnes et certains d'entre eux contiennent inévitablement des vulnérabilités. Cela signifie que, sans le savoir, vous pourriez être exposé à des vulnérabilités susceptibles d'être exploitées.
Maintenir les composants à jour
En règle générale, il est fortement recommandé de mettre à jour régulièrement les cadres, les bibliothèques et autres composants. Cela peut être réalisé de plusieurs manières :
- De nombreux logiciels de contrôle du code source peuvent analyser vos référentiels et vous avertir lorsqu'une vulnérabilité est détectée dans une dépendance.
- De nombreux gestionnaires de paquets peuvent analyser votre application et identifier toute dépendance vulnérable qu'elle pourrait présenter.
- Il existe de nombreuses solutions d'analyse de la composition des logiciels (SCA) capables d'identifier toute dépendance vulnérable.
Réduire le risque de dette technique
Un problème assez insidieux lié à la mise à jour des bibliothèques est qu'elles peuvent comporter des modifications qui déchiffrent le code. Bien qu'elles soient généralement documentées, il peut également y avoir des modifications non documentées qui peuvent n'apparaître que lorsque le code est exécuté en production.
Si l'application exécute plusieurs versions antérieures à la dernière, la mise à jour vers la version la plus récente peut nécessiter un travail considérable. En cas de découverte d'une vulnérabilité urgente, il est essentiel que vous soyez relativement à jour avec les composants tiers afin d'éviter une situation où la mise à jour prendrait plusieurs jours.
Il n'est pas non plus recommandé de mettre à jour les paquets sans au moins consulter les notes de version, car celles-ci peuvent contenir des informations importantes sur des modifications qui ne sont pas évidentes mais qui pourraient modifier le fonctionnement de l'application.
La mise à jour pourrait-elle vous rendre plus insécurisé ?
Bien que cela soit rare, il existe des cas où une vulnérabilité peut :
- N'existe pas dans les versions précédentes
- Veuillez vous identifier pour corriger une vulnérabilité.
Ces cas peuvent conduire à penser que la mise à jour régulière des paquets n'est pas vraiment souhaitable. Bien entendu, cette façon de penser doit être évitée autant que possible, car elle conduit à l'accumulation d'une dette technique.
Compte tenu de la relative rareté de ce scénario, les avantages liés à la mise à jour fréquente des paquets l'emportent largement sur le risque d'une vulnérabilité récemment introduite, qui devrait de toute façon être facilement atténuée si vous effectuez régulièrement les mises à jour.
Cela suppose également que les fournisseurs ne corrigent pas les vulnérabilités de manière discrète sans aucune divulgation, ce qui est malheureusement encore très courant.
Exemples notables
Vous trouverez ci-dessous quelques exemples notables dont vous avez probablement entendu parler récemment. Vous pouvez voir comment et pourquoi il est important de vérifier vos bibliothèques et de vous assurer qu'elles sont à jour.