GitLab, un référentiel de code concurrent de GitHub, vient de publier le deuxième rapport sur la sécurité du code hébergé, en s’appuyant sur l’analyse de milliers de projets.
Le nombre de projet dépendant de paquets tiers de code avec des vulnérabilités de sécurité a bondi en un an de 26 % à 69 %, et GitLab recommande de mettre à jour d’autant plus souvent les librairies qu’elles sont vulnérables, et énumère la liste des dix premiers.
Les catégories de vulnérabilité du code évoluent. Les trois premières en août sont :
– Validation incorrecte des entrées, avec un risque potentiel d’injection de code ;
– Écriture dans des mémoires tampons en dehors des limites, avec un risque d’exécution de code à distance ;
– Consommation non contrôlée des ressources, ouvrant la possibilité des attaques par déni de service.
Le pourcentage de projets avec des vulnérabilités liées aux conteneurs a diminué de 52 à 41 % en un an. En revanche, trop de conteneurs ne sont pas mis à jour, laissant des vulnérabilités exploitables sur le long terme.
Le rapport détaille 8 recommandations pour les professionnels de la sécurité.