En d\u00e9cembre \u00a02020, SolarWinds a r\u00e9v\u00e9l\u00e9 que son produit Orion avait fait l’\u2019objet d’\u2019une cyberattaque \u00e0 grande \u00e9chelle, par laquelle les assaillants sont parvenus \u00e0 acc\u00e9der \u00e0 l’\u2019infrastructure de nombreux clients de SolarWinds, dont plusieurs agences gouvernementales. L’\u2019ampleur de cette violation a suscit\u00e9 une vive attention concernant les vuln\u00e9rabilit\u00e9s de la cha\u00eene d’\u2019approvisionnement, ainsi que le r\u00f4le de la d\u00e9pendance vis-\u00e0-vis de tiers dans la s\u00e9curit\u00e9 d’\u2019un syst\u00e8me logiciel. Bien qu’\u2019aucune de ces menaces ne soit in\u00e9dite, le regain de vigilance accord\u00e9 \u00e0 ce domaine au vu des \u00e9v\u00e9nements actuels a fait na\u00eetre chez les organisations un fort d\u00e9sir d’\u2019am\u00e9liorer leur posture de s\u00e9curit\u00e9 dans l’\u2019espoir de ne pas \u00eatredevenir la prochaine cible. En tant qu’\u2019\u00e9quipe d’\u2019ing\u00e9nierie logicielle, votre interaction la plus fr\u00e9quence avec la cha\u00eene d’\u2019approvisionnement concerne le choix des biblioth\u00e8ques externes destin\u00e9es \u00e0 \u00eatre int\u00e9gr\u00e9es \u00e0 vos applications.<\/p>\n
Une biblioth\u00e8que externe bien maintenue peut repr\u00e9senter un atout consid\u00e9rable pour les initiatives de d\u00e9veloppement\u00a0 : elle permet d’\u2019\u00e9conomiser d’\u2019innombrables heures de travail pour les ing\u00e9nieurs, en vous permettant de vous concentrer sur les principaux facteurs de diff\u00e9renciation de votre propre produit, plut\u00f4t que de devoir r\u00e9impl\u00e9menter des fonctionnalit\u00e9s communes. \u00c0 l’\u2019inverse, les biblioth\u00e8ques dont la mise en \u0153uvre est d\u00e9faillante peuvent \u00eatre difficiles \u00e0 utiliser, introduire des vuln\u00e9rabilit\u00e9s en mati\u00e8re de s\u00e9curit\u00e9 qui cr\u00e9ent des risques pour votre organisation et vos clients, voire dans certains cas extr\u00eames, interf\u00e9rer avec le fonctionnement de parties non li\u00e9es \u00e0 votre service ou compromettre \u00e0 mal l’\u2019ensemble de votre architecture. Je vais pr\u00e9senter ici un grand nombre des consid\u00e9rations que j’\u2019ai utilis\u00e9es pour \u00e9valuer les biblioth\u00e8ques du point de vue de la robustesse de leurs pratiques techniques et de leurs implications probables en mati\u00e8re de s\u00e9curit\u00e9. Ces approches ont vocation \u00e0 \u00eatreconstituer des points de d\u00e9part et non \u00e0 imposer de quelconques prescriptions. Trouvez une approche qui r\u00e9ponde \u00e0 vos propres besoins. Bien qu’\u2019il n’\u2019existe dans ce domaine aucune solution miracle, le fait de vous assurer que votre projet repose uniquement sur des d\u00e9pendances de haute qualit\u00e9 peut r\u00e9duire consid\u00e9rablement votre surface de vuln\u00e9rabilit\u00e9 et rendre votre produit \u00e0 la fois plus facile \u00e0 d\u00e9velopper et \u00e0 maintenir.<\/p>\n
Cet examen initial est essentiel, car il permet de d\u00e9terminer si une \u00e9valuation approfondie est n\u00e9cessaire ou appropri\u00e9e. Quelle est la fonctionnalit\u00e9 de la biblioth\u00e8que \u00a0? Quelle est l’\u2019importance de cette fonctionnalit\u00e9 au regard du fonctionnement de votre produit \u00a0? Une biblioth\u00e8que simple, dont l’\u2019encombrement est r\u00e9duit, n\u00e9cessite beaucoup moins d’\u2019attention qu’\u2019une vaste infrastructure \u00e9troitement int\u00e9gr\u00e9e \u00e0 votre propre code. De plus, certains indicateurs qui seraient des signaux d’\u2019alerte majeurs pour une fonctionnalit\u00e9 cl\u00e9 (par exemple, des mises \u00e0 jour peu fr\u00e9quentes) peuvent au contraire \u00eatre normaux ou escompt\u00e9s dans le cas de petites biblioth\u00e8ques uniquement destin\u00e9es \u00e0 accomplir une t\u00e2che extr\u00eamement r\u00e9duite.<\/p>\n
Une question annexe concerne le mode d’\u2019exploitation pr\u00e9vu de cette biblioth\u00e8que. Les d\u00e9pendances de d\u00e9veloppement (par exemple un outil d’\u2019analyse statique, ou un composant extrait d’\u2019un cadre de test unitaire) pr\u00e9sentent beaucoup moins de risques que les d\u00e9pendances d’\u2019ex\u00e9cution. Si les d\u00e9faillances de votre pipeline de construction sont susceptibles de retarder la sortie d’\u2019une version ou de causer d’\u2019autres probl\u00e8mes \u00e0 court terme auxpour les d\u00e9veloppeurs, elles n’\u2019ont aucune incidence directe sur les utilisateurs et ne constituent g\u00e9n\u00e9ralement pas un risque du point de vue de la s\u00e9curit\u00e9 de l’\u2019application en elle-m\u00eame.<\/p>\n
Le moyen le plus rapide d’\u2019\u00e9valuer l’\u2019\u00e9tat de sant\u00e9 g\u00e9n\u00e9ral d’\u2019un projet est d’\u2019examiner l’\u2019historique de contr\u00f4le de ses sources. Quand la derni\u00e8re version a-t-elle \u00e9t\u00e9 publi\u00e9e \u00a0? \u00c0 quelle fr\u00e9quence les versions sont-elles publi\u00e9es, et quel est le taux de validations dans le r\u00e9f\u00e9rentiel du code source \u00a0? J’\u2019aime que des projets soient mis \u00e0 jour fr\u00e9quemment, car cela me donne davantage confiance dans la probabilit\u00e9 que la biblioth\u00e8que continuera \u00e0 \u00eatre maintenue \u00e0 l’\u2019avenir. \u00c0 l’\u2019inverse, un projet rest\u00e9 en sommeil pendant une longue p\u00e9riode peut contenir des bogues non corrig\u00e9s, ou donner lieu \u00e0 des probl\u00e8mes de compatibilit\u00e9 avec les nouvelles versions des d\u00e9pendances communes, voire avec le moteur d’\u2019ex\u00e9cution du langage lui-m\u00eame.<\/p>\n
Il est \u00e9galement tr\u00e8s utile de consulter le journal des modifications d’\u2019une biblioth\u00e8que. Les changements introduits au fil des versions sont parfois d\u00e9crits sur la page correspondante. Dans certains autres cas, le journal des modifications est un fichier situ\u00e9 au niveau sup\u00e9rieur du r\u00e9f\u00e9rentiel du code source. Si cette information n’\u2019est pas ais\u00e9ment accessible, c’estil s\u2019agit d\u2019un signal important qui appelle \u00e0 la vigilance. Je cherche \u00e0 obtenir des descriptions claires de ce qui a \u00e9t\u00e9 modifi\u00e9 d’\u2019une version \u00e0 l’\u2019autre et \u00e0 savoir si les incompatibilit\u00e9s en amont ont \u00e9t\u00e9 clairement document\u00e9es. Toutefois, une fr\u00e9quence \u00e9lev\u00e9e de changements incompatibles avec les versions pr\u00e9c\u00e9dentes, ou de corrections de bogues dans les fonctionnalit\u00e9s de base, estconstitue en soi une source d’\u2019inqui\u00e9tude car elle sugg\u00e8re que le d\u00e9veloppeur a failli dans son travail de planification et de d\u00e9bogage des modifications avant publication.<\/p>\n
Une \u00e9valuation plus approfondie peut consister \u00e0 examiner le suivi des probl\u00e8mes d’\u2019un projet et d’\u2019autres canaux de communication publics. Dans quelle mesure les responsables de la maintenance sont-ils \u00e0 l’\u2019\u00e9coute des utilisateurs\u00a0 ? Sont-ils cordiaux et r\u00e9ceptifs aux commentaires, ou adoptent-ils plut\u00f4t un ton pugnace\u00a0 ? Quel est le ratio de dossiers ouverts et de dossiers clos \u00a0? Les responsables r\u00e9pondent-ils activement aux pr\u00e9occupations des utilisateurs, ou les rapports de bogue restent-ils en suspens durant de longues p\u00e9riodes \u00a0? La documentation est-elle compl\u00e8te et oriente-t-elle efficacement l’\u2019utilisateur vers les meilleures pratiques de mise en \u0153uvre \u00a0? Existe-t-il des preuves de l’\u2019existence d’\u2019une communaut\u00e9 dynamique autour de ce projet \u00a0? Par exemple, est-ce au responsable principal qu’\u2019incombe enti\u00e8rement la charge de l’\u2019assistance aux utilisateurs, ou d’\u2019autres membres de la communaut\u00e9 sont-ils d\u00e9sireux et capables d’\u2019en prendre au moins partiellement le relais \u00a0? Un projet qui donne lieu \u00e0 une relation saine avec sa communaut\u00e9 a beaucoup plus de chances de r\u00e9pondre aux besoins sp\u00e9cifiques des utilisateurs et de s’\u2019adapter rapidement \u00e0 un environnement en pleine \u00e9volution.<\/p>\n
Cette \u00e9valuation demande certes un peu plus d’\u2019efforts que le simple comptage de la fr\u00e9quence des publications, mais elle fournit une mine d’\u2019informations. La premi\u00e8re chose que je veux comprendre, c’\u2019est le nombre de d\u00e9pendances suppl\u00e9mentaires sur lesquelles s’\u2019appuie une biblioth\u00e8que, et en particulier si elle fait appel \u00e0 des d\u00e9pendances inutiles. Les d\u00e9pendances qui fournissent une fonctionnalit\u00e9 cl\u00e9 pour une biblioth\u00e8que sont beaucoup moins pr\u00e9occupantes que le fait de faire appel \u00e0 de nombreuses biblioth\u00e8ques suppl\u00e9mentaires pour des t\u00e2ches sans rapport entre elles. Chaque d\u00e9pendance additionnelle signifie une complexit\u00e9 accrue et un risque suppl\u00e9mentaire pour la cha\u00eene d’\u2019approvisionnement. En cas de doute, un outil d’\u2019\u00e9valuation simple consiste \u00e0 installer la biblioth\u00e8que dans un conteneur docker et \u00e0 noter combien de biblioth\u00e8ques suppl\u00e9mentaires sont ajout\u00e9es au cours du processus.<\/p>\n
Dans cette cat\u00e9gorie, la plus grande pr\u00e9occupation est la facilit\u00e9 avec laquelle les d\u00e9pendances sont actualis\u00e9es \u00e0 mesure que de nouvelles vuln\u00e9rabilit\u00e9s sont d\u00e9couvertes. Pour cette raison, un \u00e9l\u00e9ment important de l’\u2019\u00e9valuation consiste \u00e0 noter si une d\u00e9pendance est restrictive (c’\u2019est-\u00e0-dire, satisfaite uniquement par une version sp\u00e9cifique d’\u2019une biblioth\u00e8que) ou permissive (satisfaite par une gamme de versions). Les d\u00e9pendances restrictives constituent une pr\u00e9occupation majeure, car elles peuvent rendre les efforts de correction difficiles, voire nous obliger \u00e0 d\u00e9classer des biblioth\u00e8ques dont nous d\u00e9pendons pour d’\u2019autres fonctionnalit\u00e9s. Il est \u00e9galement important de savoir dans quelle mesure ces d\u00e9pendances transitives sont \u00e0 jour. Une d\u00e9pendance versionn\u00e9e qui sp\u00e9cifie une version vieille de deux mois est beaucoup moins pr\u00e9occupante que si elle r\u00e9f\u00e9rence une version remontant \u00e0 deux ans. Dans le m\u00eame ordre d’\u2019id\u00e9es, l’\u2019un des signes qui \u00e9voquent un projet bien g\u00e9r\u00e9 est la pr\u00e9sence d’\u2019un historique des actualisations fr\u00e9quentes qui maintiennent les d\u00e9pendances \u00e0 jour.<\/p>\n
M\u00e9fiez-vous tout particuli\u00e8rement des paquets \u00e9crits dans un certain langage et qui comportent des d\u00e9pendances suppl\u00e9mentaires dans un autre langage (par exemple des biblioth\u00e8ques \u00a0Python li\u00e9es \u00e0 des extensions \u00a0C compil\u00e9es en interne). Si les d\u00e9pendances secondaires impliquent un langage ou un environnement de programmation que vous connaissez moins bien, il vous sera plus difficile d’\u2019\u00e9valuer leur qualit\u00e9 globale. De plus, les diff\u00e9rents langages supposent souvent des conventions d’\u2019empaquetage diff\u00e9rentes. Or, les responsables de la maintenance de projets mixtes ne ma\u00eetrisent pas toujours les r\u00e8gles de bonne pratique de tous les langages de programmation qu’\u2019ils utilisent, ce qui rend les mises \u00e0 jour et les correctifs encore plus compliqu\u00e9s.<\/p>\n
Les biblioth\u00e8ques cryptographiques m\u00e9ritent une attention particuli\u00e8re en raison de la complexit\u00e9 algorithmique qu’\u2019elles impliquent, ainsi que de l’\u2019impact \u00e9lev\u00e9 de leurs vuln\u00e9rabilit\u00e9s potentielles. Examinez ces biblioth\u00e8ques avec une attention particuli\u00e8re et assurez-vous de vous fier exclusivement \u00e0 des biblioth\u00e8ques qui ont fait l’\u2019objet d’\u2019une \u00e9valuation approfondie et reposent sur une longue exp\u00e9rience. Parmi les choix s\u00fbrs, citons OpenSSL pour C et C++, BouncyCastle pour Java et la biblioth\u00e8que cryptographique de PyCA pour Python. Vos options peuvent \u00eatre limit\u00e9es par la politique de s\u00e9curit\u00e9 ou les exigences de conformit\u00e9 de votre entreprise. Soyez au fait des vuln\u00e9rabilit\u00e9s connues des biblioth\u00e8ques cryptographiques et informez-vous r\u00e9guli\u00e8rement des nouvelles versions. Parmi toutes vos d\u00e9pendances tierces, ce sont celles qui ont la plus grande incidence en termes de s\u00e9curit\u00e9.<\/p>\n
Cette section et la suivante concernent des \u00e9valuations n\u00e9cessitant un niveau d’\u2019effort \u00e9lev\u00e9, mais celui-ci est parfois justifi\u00e9 dans les cas \u00e0 haut risque. Lorsque je veux me faire une id\u00e9e de la qualit\u00e9 globale du code d’\u2019un projet, j’\u2019essaie de trouver un code source qui exploite une fonctionnalit\u00e9 dont je connais d\u00e9j\u00e0 en profondeur les caract\u00e9ristiques, et j’\u2019\u00e9value la qualit\u00e9 d’\u2019\u00e9criture de cette partie r\u00e9duite de la base de code. Parfois, j’\u2019examine la qualit\u00e9 de la documentation du projet, en me concentrant sur la clart\u00e9 du r\u00e9dacteur et sa capacit\u00e9 \u00e0 communiquer efficacement des concepts complexes. Dans un cas comme dans l’\u2019autre, l’\u2019objectif est de d\u00e9terminer si les responsables font preuve d’\u2019une grande attention aux d\u00e9tails ou s’\u2019ils ont plut\u00f4t tendance \u00e0 prendre des raccourcis. On s’\u2019attend ici \u00e0 ce que le degr\u00e9 de soin apport\u00e9 \u00e0 une partie du projet soit repr\u00e9sentatif de l’\u2019\u00e9tat de l’\u2019ensemble.<\/p>\n
\u00c0 titre d’\u2019exemple concret, si j’\u2019ai choisi d’\u2019examiner la gestion du protocole \u00a0SSL par un projet \u00a0Python, je peux remarquer ce qui suit \u00a0:<\/p>\n
Dans une \u00e9valuation comme celle-ci, je veux voir des principes de conception solides, la r\u00e9utilisation d’\u2019idiomes standard, et m’\u2019assurer que l’\u2019auteur puisse pr\u00e9voir les besoins potentiels des utilisateurs et fournir une extensibilit\u00e9 appropri\u00e9e pour y r\u00e9pondre.<\/p>\n
Je l’\u2019ai list\u00e9 cet \u00e9l\u00e9ment en dernier car il s’\u2019agit g\u00e9n\u00e9ralement d’\u2019une impression que je me forge au fil du temps et qui peut \u00eatre moins utile pour une premi\u00e8re \u00e9valuation. Cela d\u00e9pend aussi fortement de l’\u2019ampleur de l’\u2019utilisation et de la pertinence de la s\u00e9curit\u00e9 d’\u2019une biblioth\u00e8que particuli\u00e8re. N\u00e9anmoins, cela peut certainement \u00eatre un facteur dans la d\u00e9cision de continuer \u00e0 utiliser une biblioth\u00e8que existante ou d’\u2019essayer de migrer vers un remplacement.<\/p>\n
En d’\u2019autres termes, j’\u2019essaie d’\u2019\u00e9valuer la r\u00e9activit\u00e9 du responsable du projet en mati\u00e8re de correction des vuln\u00e9rabilit\u00e9s et la facilit\u00e9 avec laquelle nous pouvons b\u00e9n\u00e9ficier de ces correctifs dans nos propres d\u00e9ploiements. Un projet qui fait fr\u00e9quemment l’\u2019objet de divulgations de vuln\u00e9rabilit\u00e9s est quelque peu inqui\u00e9tant, mais il pourrait tout aussi bien s’\u2019agir d’\u2019un facteur de large utilisation et de pertinence en mati\u00e8re de s\u00e9curit\u00e9 plut\u00f4t que de la qualit\u00e9 globale du code et des pratiques de maintenance. Un meilleur indicateur est l’\u2019action qui est adopt\u00e9e lorsqu’\u2019une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte. Les correctifs sont-ils int\u00e9gr\u00e9s rapidement aux nouvelles versions \u00a0? Est-il facile d’\u2019effectuer une mise \u00e0 niveau lorsque des versions corrig\u00e9es sont publi\u00e9es \u00a0? Si le projet apporte souvent des changements radicaux, notamment s’\u2019il rompt r\u00e9guli\u00e8rement la r\u00e9trocompatibilit\u00e9, retransf\u00e8re-t-il les correctifs aux anciennes versions \u00a0? Si la biblioth\u00e8que fait partie d’\u2019une distribution \u00a0Linux, la responsabilit\u00e9 du r\u00e9troportage des correctifs incombe g\u00e9n\u00e9ralement aux mainteneurs de la distribution plut\u00f4t qu’\u2019au d\u00e9veloppeur d’\u2019origine, mais les m\u00eames questions peuvent s’\u2019appliquer \u00e0 la fa\u00e7on dont l’\u2019empaqueteur g\u00e8re la biblioth\u00e8que (les distributions font souvent une distinction entre les paquets principaux avec une maintenance active et les paquets plus p\u00e9riph\u00e9riques, qui suivent g\u00e9n\u00e9ralement les versions amont avec des modifications minimales appliqu\u00e9es).<\/p>\n
Lorsqu’\u2019une biblioth\u00e8que fait preuve d’\u2019une mauvaise gestion des vuln\u00e9rabilit\u00e9s ou fonctionne d’\u2019une mani\u00e8re qui rend difficile l’\u2019utilisation des correctifs de s\u00e9curit\u00e9, je recommande souvent \u00e0 mon \u00e9quipe de migrer vers une autre biblioth\u00e8que.<\/p>\n
L’\u2019\u00e9valuation de la qualit\u00e9 globale d’\u2019un projet logiciel et de la communaut\u00e9 qui l’\u2019entoure est une comp\u00e9tence essentielle qui ne fera que gagner en pertinence \u00e0 mesure que les projets logiciels deviendront plus interd\u00e9pendants. Il s’\u2019agit \u00e9galement d’\u2019une comp\u00e9tence tr\u00e8s individuelle \u00a0; vous obtiendrez souvent les meilleurs r\u00e9sultats en \u00e9tudiant les d\u00e9cisions prises par les responsables des biblioth\u00e8ques dans vos domaines d’\u2019expertise. \u00c9tant donn\u00e9 que la validation compl\u00e8te de chaque d\u00e9tail d’\u2019un fournisseur potentiel est une t\u00e2che encore plus difficile que de construire la fonctionnalit\u00e9 soi-m\u00eame, le processus d’\u2019\u00e9valuation consiste \u00e0 \u00e9tablir un degr\u00e9 de confiance et \u00e0 prendre des mesures pour s’\u2019assurer que cette confiance n’\u2019est pas mal plac\u00e9e. En fin de compte, apprendre \u00e0 contr\u00f4ler les d\u00e9pendances de tiers estconstitue un \u00e9l\u00e9ment important de la mise en place d’\u2019une culture d’\u2019ing\u00e9nierie qui prend en charge la s\u00e9curit\u00e9 et la fiabilit\u00e9 de votre produit.<\/p>\n
Jacob Emmert-Aronson<\/a> est ing\u00e9nieur principal au sein de l’\u2019\u00e9quipe Mindmeld, qui fait partie de l’\u2019organisation Webex \u00a0Intelligence. C’\u2019est un expert en mati\u00e8re de s\u00e9curit\u00e9 informatique, de DevOps et de maintenance des logiciels, et sa sp\u00e9cialit\u00e9 consiste \u00e0 comprendre de quelle mani\u00e8re ces sujets se croisent.<\/p>\n Vous souhaitez rejoindre l’\u2019\u00e9quipe MindMeld\u00a0 ? Envoyez un e-mail \u00e0 mindmeld-jobs@cisco.com<\/span><\/p><\/blockquote>\n S’\u2019inscrire \u00e0 Webex<\/a><\/p>\n Consultez notre page d’\u2019accueil<\/a> ou contactez-nous<\/a> directement pour obtenir une assistance.<\/p>\n