L’utilisation de composants tiers et de code vulnérables au sein de nouvelles applications est devenue un problème de sécurité majeur souligné dans le Top 10 des vulnérabilités applicatives de l’Open Web Application Security Project (OWASP). Dans ses précédentes versions, la catégorie Utilisation de composants aux vulnérabilités connues était intégrée à une autre, plus générique, Défaut de configuration. Mais le problème est devenu si répandu qu’il mérite désormais une catégorie propre.
Pour améliorer la gestion du développement de code Open Source et tiers, les équipes doivent créer et tenir à jour une liste de tout le code utilisé, en intégrant les dépendances et les sources. En outre, chaque source devrait disposer d’un point de contact désigné pour suivre les mailing-lists et les mises à jour. Ces tâches peuvent être plus aisément gérées avec un outil de gestion de dépôt - un point central de stockage des composants logiciels et de leurs dépendances utilisés pour le développement, le déploiement et le provisioning. Un gestionnaire de dépôt peut également aider à faire appliquer les règles relatives à la réutilisation de code.
Les bénéfices liés à l’utilisation de code Open Source seront toujours supérieurs aux coûts associés au développement de ressources similaires. Mais cela requiert un processus visant à garantir que tout le code tiers est maitrisé et bien à jour. Il n’est désormais plus sûr de laisser simplement les DevOps choisir les composants qu’ils souhaitent utiliser pour un projet.