 |
| Source : hthemyndset.com |
Dans plusieurs messages antérieurs, nous évoquions la sécurité sous l'aspect du développement et de la production de logiciels ou de systèmes d'exploitations moins vulnérables. Quelques signaux faibles permettaient alors d'entrevoir une évolution positive de cet écosystème sans que puisse être matérialisée une tendance.
Il serait pourtant possible que celle-ci se soit matérialisée comme en témoigne une récente étude auquel vous pardonnerez l'auteur de ce blog d'essayer d'en dégager une vision plus globale (on ne se "refait" pas).
Cette étude a été conduite par Coverity, une société lancée en 2006 avec la bénédiction du DHS - Department of Homeland Security - américain et propose un service de vérification automatique (scan) des erreurs de développement. Le partenariat qui a permis de lancer le service se serait terminé en 2009.
Quelques précisions qui paraissent importantes : la vérification d'un code est un exercice complexe et dont l'automatisation n'est pas toujours possible. Ainsi, non seulement la société précise les limites de son action en indiquant se concentrer sur une analyse statique (et non dynamique) qui ne révèle pas nécessairement tous les aspects de l'exécution d'un code. Elle livre également une liste non-limitative des erreurs que son service est capable de déceler.
Pour autant, un tel produit aurait-il pu déceler une faille à priori complexe comme celle relative au noyau Linux qui fait l'actualité ? Cela n'est pas si sur et si le processus était automatisable si facilement, le marché des 0-day présenterait sans doute moins d'intérêt.
En se basant sur ces réflexions, j'ai tendance à croire que ce type d'outil fournit une bonne détection de premier niveau. En outre et surtout, elle constitue un excellent indicateur de la qualité générale d'un code. Le rapport publié par Coverity semble ainsi révéler une tendance de qualité croissante notamment dans le monde de l'open source. Celle-ci semblerait se manifester de manière plus perceptible depuis deux ans.
Pour appuyer ses dires, l'article se concentre sur un indicateur : le nombre d'erreurs de code conduisant à des défauts pour 1000 lignes de codes. Il note globalement une amélioration que le code soit d'origine "open source" ou "professionnel" avec des tendances inférieurs à 1, ce qui constitue une évolution en soi.
Cependant, si le code "pro" ou "open" semble avoir un taux de défaut proche (0,68 et 0,69) dans l'ensemble, on distingue deux tendances. Si sur des "petits" programme inférieur à 1 millions de lignes de code, l'open source semble de meilleur qualité, la tendance semble s'inverser sur des programmes plus lourds. L'évolution est étrange cependant car sur la "gamme" de code compris entre 500 000 et 1 million de lignes, le taux d'erreur "open" est très bas (0,44), le code professionnel est plutôt mauvais (0,98).
A cela s'ajoute la spécificité de Linux dont la société a analysé plus de 7 millions de lignes de code sur la version 3.8 pour une densité de défaut de 0,59 soit inférieure à la moyenne observée. On aimerait connaître l'analyse pour Windows mais il faudrait disposer du code source. A noter qu'en ce qui concerne le Kernel Linux, le taux est plus élevé avec une augmentation drastique de la qualité sur simplement un an : 0.95 en 2011 et 0.76 en 2012 !
Il semble donc que la qualité du logiciel devienne finalement à la fois rentable mais également une caractéristique recherchée. Par ailleurs, et c'est une forme de preuve intéressante, l'open-source semble désormais une référence incontournable en la matière ! Cela pourrait donc inciter certains organisations à ré-orienter leurs modèles d'achat informatique en ne se contentant plus d'acheter des logiciels sur étagères mais plutôt en consacrant des ressources au développement et à la qualité - donc la sécurité - des logiciels qui les intéressent...
C'est aussi très certainement une information intéressante dans le monde de la sécurité qui déplore parfois une certaine stagnation...peut-être à lier à la médiatisation croissante des attaques. Signaux faibles et tendance vous disais-je !
Source :
Aucun commentaire:
Enregistrer un commentaire