La dette de sécurité open source augmente dans les logiciels commerciaux - Help Net Security

Le code open source se trouve dans presque toutes les applications commerciales, et les équipes de développement continuent d'ajouter de nouvelles dépendances. Les données du rapport d'analyse des risques et de la sécurité open source 2026 de Black Duck montrent que presque toutes les bases de code auditées contiennent des composants open source, le nombre moyen de composants ayant fortement augmenté au cours de l'année écoulée.

Cette croissance entraîne une augmentation parallèle de l’exposition. Le nombre moyen de vulnérabilités par base de code est passé de 280 à 581 en un an, soit plus du double. Les vulnérabilités médianes ont également augmenté. L’écart entre la moyenne et la médiane indique une longue file d’applications très chargées, y compris des valeurs aberrantes extrêmes avec des dizaines de milliers de résultats.

Top 10 des CVE et BDSA les plus répandus en 2025 (Source : Black Duck)

Plus de composants, plus d'exposition

Le nombre médian de fichiers a augmenté de plus d'un tiers d'une année sur l'autre, et la base de code moyenne contient désormais des dizaines de milliers de fichiers. Le nombre de composants par application a également augmenté, élargissant l'arborescence des dépendances aux packages directs et transitifs.

Chaque composant porte son propre historique de vulnérabilité. Les bibliothèques populaires qui apparaissent fréquemment dans les suggestions de l'assistant de codage de l'IA ont tendance à avoir de longs enregistrements de divulgation. Les volumes de divulgation ont également augmenté après que l'équipe Linux Kernel est devenue une autorité de numérotation CVE en 2024, générant des milliers d'affectations CVE supplémentaires liées au code du noyau.

Les constat...
[Courte citation de 8% de l'article original]