Vous trouverez ci-après notre 8ᵉ rapport annuel sur l'état de la chaîne logistique logicielle, qui analyse la façon dont les logiciels sont développés, la dépendance du secteur aux logiciels open source et les côtés positifs ou négatifs de cette dépendance. Cette étude approfondie devrait nous permettre, outre d'expliquer le cycle de vie du développement logiciel d'aujourd'hui, de proposer des changements visant à renforcer la sécurité des chaînes logistiques logicielles et à simplifier la tâche des développeurs.

À l'instar des années précédentes, 2022 a connu une croissance considérable de la demande de composants open source et a confirmé le besoin d'une gestion efficace de l'offre. Nous avons atteint un point d'inflexion, et les équipes de développement doivent à la fois répondre aux attaques de la chaîne logistique logicielle et sélectionner de meilleurs projets open source. Nous examinons également les bonnes pratiques actuelles en matière de développement logiciel, la façon dont les développeurs se perçoivent par rapport à la réalité des performances et les avantages de l'amélioration du moral au travail.

L'événement de cette année est probablement le choc imminent de deux problèmes critiques que connaît notre secteur : l'augmentation continue de l'inquiétude face aux problèmes de sécurité open source et la réponse législative drastique entreprise par de nombreux gouvernements du monde.

Un cadre légal pour la chaîne logistique logicielle

Le 1er janvier 1968, le titre 49 du code des États-Unis intitulé Federal Motor Vehicle Safety Standards (en français : normes de sécurité fédérales pour les véhicules automobiles) est entré en vigueur. Cette loi exige que l’ensemble des places assises d’un véhicule, à l’exception des bus, soient équipées de ceintures de sécurité. Les différents États ont rapidement adopté des dispositions similaires.

Aujourd’hui, la plupart d’entre nous bouclent leur ceinture sans hésiter, même pour faire le tour du pâté de maisons. Le concept de sécurité préventive a fini par être accepté, mais il a fallu un certain temps pour en reconnaître la nécessité. Aujourd’hui, la pratique est totalement entrée dans les habitudes.

Dans toutes les facettes du monde moderne, nos vies sont remplies de réglementations qui visent à éliminer les risques liés à l’expansion de la technologie. Limites de vitesse, règles qui encadrent la négociation d’actions, contrôles stricts des heures de vol pour les pilotes (etc.), autant de mesures de sécurité que nous respectons, car elles sont pour la plupart devenues des habitudes, et nous acceptons l’idée qu’elles vont dans le sens du bien commun.

Les attaques contre les chaînes logistiques logicielles
0
ont connu une augmentation annuelle moyenne stupéfiante au cours des 3 dernières années.
Principales conclusions
Présentation
6 vulnérabilités de projet sur 7
proviennent de dépendances transitives.
Principales conclusions
« Une gestion plus mature de la chaîne logistique logicielle équivaut à une plus grande satisfaction au travail. »
Principales conclusions
1,2 milliard de dépendances vulnérables
sont téléchargées chaque mois.
Principales conclusions
0
des téléchargements open source avec des vulnérabilités connues sont évitables
Principales conclusions

Peut-on faire une analogie avec le fait de boucler sa ceinture dans le monde du développement logiciel ?

Nous sommes dans la deuxième année d’entrée en vigueur du décret présidentiel promulgué aux États-Unis visant à réduire les risques de cybersécurité pour la chaîne logistique logicielle. D’autres pays ont suivi. Plus loin dans le rapport, vous constaterez que le décret initial a été à l’origine de plusieurs développements dans le monde au cours de l’année 2022. Le Japon, par exemple, a accueilli l’Open Source Security Summit (en français : sommet sur la sécurité de l’open source) en août 2022, et l’Union européenne a émis une proposition de réglementation avec la Loi sur la cyber-résilience en septembre 2022.

Bien que les objectifs de chacun soient de réduire les risques et de sécuriser les chaînes logistiques logicielles, ces développements ne sont pas encore assortis de dispositions contraignantes. En tant que telles, les méthodologies des entreprises et des développeurs varient considérablement, tout comme les résultats.

En effet, l’application d’un système de bonnes pratiques plutôt qu’une approche informelle produit des différences spectaculaires quant à la manière dont les chaînes logistiques logicielles sont sécurisées. Cette édition du rapport sur l’état de la chaîne logistique logicielle reflète la nature symbiotique des bonnes pratiques et des bons résultats, mais aussi, à l’inverse, la nature symbiotique des mauvaises pratiques et des mauvais résultats. L’objectif du rapport était (et reste) d’encourager, chez les développeurs, des pratiques dans la chaîne logistique logicielle qui améliorent la façon dont nous pouvons et devons travailler pour créer des résultats positifs et des expériences professionnelles épanouissantes.

Nous continuons à puiser dans les sources de données publiques et propriétaires pour illustrer une série de problèmes liés à la gestion efficace de la chaîne logistique. Sujets qui seront abordés :

  • La croissance continue de la chaîne logistique logicielle ainsi que les enjeux persistants en matière de sécurité.
  • Conseils pour choisir les meilleures dépendances pour vos projets
  • Comportement des développeurs et recommandations
  • Regards sur une gestion éclairée de la chaîne logistique et perception de la maturité par rapport à la réalité
  • État actuel et futur de la réglementation au niveau international

Ce rapport examine les méthodologies qui s’appuient sur les données dans l’écosystème open source et leur impact sur la chaîne logistique logicielle. Bonne lecture ! (Et n’oubliez pas d’attacher votre ceinture.)

Avant-propos

Améliorer la sécurité de la chaîne logistique logicielle est un problème prioritaire pour la communauté open source. Les récents exploits, qu’il s’agisse de celui de Log4j ou d’attaques cryptographiques liées à des repositories open source, ont occasionné des pertes financières importantes, mais ont également entamé la confiance des clients. Au sein de la Fondation Linux, nous avons mis à contribution les parties prenantes dans l’écosystème open source pour développer des chaînes logistiques logicielles plus fiables, l’idée étant que seul un effort coordonné pour mettre en œuvre les bonnes pratiques de sécurité pourrait nous permettre de créer les fondations nécessaires pour des logiciels plus sûrs. Et dans ce contexte, Sonatype a été un partenaire digne de confiance.

Parmi les initiatives de sécurité les plus importantes de la fondation, citons la création de l’Open Source Security Foundation (en français : Fondation pour la sécurité de l’open source), l’organisation de récents sommets de la sécurité open source en Amérique du Nord, en Europe et au Japon, la création de formations gratuites sur la sécurité (utilisation de Sigstore et des niveaux de SLSA, ou « Supply chain Levels for Software Artifacts ») pour sécuriser les chaînes logistiques logicielles, ainsi que l’engagement des dirigeants dans de nombreux gouvernements et de nombreuses entreprises. Et tout en poursuivant les recherches, comme l’atteste la création de la capacité LF Research en 2021, nous nous engageons activement à soutenir les efforts coordonnés de sécurité des logiciels open source grâce à la génération de données fiables.

Les recherches actuelles sur l’open source, notamment la mesure de l’offre et de la demande, l’identification des tendances dans les niveaux de contribution et l’exploration des défis et de l’état de préparation liés à la sécurité, constituent une ressource prisée pour l’élaboration d’une stratégie open source et pour orienter la mise en œuvre des bonnes pratiques. Des entreprises telles que Sonatype mènent les recherches empiriques indispensables pour répondre à des questions critiques concernant les tendances de l’open source à un niveau général, en mettant de plus en plus l’accent sur la sécurité. Des recherches récentes de la Fondation Linux identifient les applications logicielles les plus utilisées (avec le Laboratory of Innovation Science de Harvard), explorent l’état de préparation de la nomenclature logicielle (« software bill of materials » ou SBOM), identifient les lacunes organisationnelles dans les pratiques de développement de logiciels et mettent en lumière les défis auxquels est confrontée la communauté des mainteneurs et des committers. Et dans le processus de production de recherches, nous savons que nous ne pouvons pas fonctionner seuls. Il faut une communauté pour obtenir des informations basées sur les données – le type d’informations qui encourage les équipes de développement à appliquer des méthodologies solides et sûres.

Les rapports de recherche annuels de Sonatype sont un élément essentiel du paysage des données et des informations open source, et l’édition de cette année ne fait pas exception. De nouvelles données sur la gestion des dépendances, l’adoption de normes, la vélocité et, disons-le, l’efficacité des indicateurs de sécurité (notamment le Scorecard de l’Open Source Security Foundation), guideront les décideurs et leur donneront un meilleur degré de confiance. Le 8ème rapport annuel de Sonatype sur l’état de la chaîne logistique logicielle est une ressource importante qui contribuera à la mise en place d’actions à fort impact dans l’écosystème et permettra à toutes les sensibilités de la communauté open source de parvenir à un consensus sur les questions importantes. La Fondation Linux soutient pleinement ce travail.

Hilary Carter
vice-présidente de la recherche
Fondation Linux