héros bg sans séparateur
Lignes directrices

Utilisation de composants présentant des vulnérabilités connues

La plupart des applications utilisent un grand nombre de composants tiers. Ces composants fournissent diverses fonctionnalités telles que la journalisation, les modèles et l'accès aux bases de données.

Cela simplifie considérablement le développement de logiciels et permet un gain de temps significatif. Cependant, ces composants sont également créés par des personnes et certains d'entre eux peuvent inévitablement contenir des vulnérabilités. En d'autres termes, il est possible que vous soyez exposé à des vulnérabilités susceptibles d'être exploitées à votre insu.

Maintenir les composants à jour

En règle générale, il est fortement recommandé de maintenir régulièrement à jour les frameworks, bibliothèques et autres composants. Il existe plusieurs méthodes pour ce faire.

  • De nombreux logiciels de gestion de sources analysent les référentiels et vous avertissent lorsqu'ils détectent une vulnérabilité dans les dépendances.
  • De nombreux gestionnaires de paquets peuvent analyser les applications et identifier les dépendances vulnérables.
  • Il existe de nombreuses solutions d'analyse de composition logicielle (SCA) capables d'identifier les dépendances vulnérables.

Réduction des risques liés à la dette technique

L'un des problèmes complexes liés à la mise à niveau des bibliothèques est la possibilité que des modifications susceptibles de perturber le code soient apportées. Bien que ces modifications soient souvent documentées, certaines ne le sont pas et peuvent ne pas être détectées avant que le code ne soit exécuté en production.

Si l'application utilise une version antérieure à la dernière version disponible, la mise à niveau vers la dernière version peut nécessiter un travail considérable. En cas de divulgation d'une vulnérabilité urgente, il est essentiel de maintenir les composants tiers à jour afin d'éviter une mise à niveau pouvant prendre plusieurs jours.

Il est déconseillé de procéder à une mise à niveau du package sans consulter les notes de mise à jour. En effet, ces notes peuvent contenir des informations importantes concernant des modifications susceptibles d'affecter le fonctionnement de l'application, même si cela n'est pas clairement indiqué.

La mise à jour pourrait-elle améliorer davantage la sécurité ?

Bien que cela ne soit pas courant, les cas suivants ont été signalés en raison de vulnérabilités.

  • Cette fonctionnalité n'est pas disponible dans les versions antérieures.
  • Veuillez nous informer lorsque vous corrigez une vulnérabilité.

Dans de tels cas, il peut sembler peu souhaitable de mettre à jour régulièrement les paquets. Bien entendu, cette approche conduit à l'accumulation de dette technique et doit donc être évitée autant que possible.

Étant donné que ce scénario est relativement rare, les avantages liés à la mise à jour fréquente des paquets l'emportent largement sur les risques liés à l'introduction de nouvelles vulnérabilités. En vous tenant régulièrement informé des dernières mises à jour, vous devriez pouvoir facilement atténuer ces risques.

De plus, nous supposons que les fournisseurs corrigent les vulnérabilités sans divulgation et en silence, ce qui est malheureusement encore très courant à l'heure actuelle.

Exemple remarquable

Voici quelques exemples notables dont vous avez peut-être entendu parler récemment. Vous comprendrez pourquoi il est important de vérifier régulièrement les bibliothèques et de les maintenir à jour.