BT

Diffuser les Connaissances et l'Innovation dans le Développement Logiciel d'Entreprise

Contribuez

Sujets

Sélectionner votre région

Accueil InfoQ Actualités Une Etude montre que le Web est rempli de Librairies JavaScript Obsolètes et Vulnérables

Une Etude montre que le Web est rempli de Librairies JavaScript Obsolètes et Vulnérables

Favoris

Tout le monde sait que si l'utilisation d'une librairie tierce partie réduit normalement le temps de développement, elle peut également augmenter la surface d'attaque exposée par un site Web. Par conséquent, il est fondamental de garder vos dépendances à jour pour bénéficier des corrections de sécurité. Pourtant, une étude récente a révélé que 37% des 75K premiers sites Web sur Alexa présentent au moins une vulnérabilité et près de 10% en compte au moins deux. Ceux-ci incluent, par exemple, 36,7% des librairies importées de jQuery, 40,1% d'Angular et plus de 85% des importations à la fois d'Handlebars et d'YUI 3. Peut-être plus choquant encore, 26% des 500 premiers sites d'Alexa emploient des librairies vulnérables.

Le groupe de recherche de l'Université Northeastern, dirigé entre autres par Tobias Lauinger et Abdelberi Chaabane, a construit un catalogue de toutes les versions de 72 librairies open source populaires basées sur les statistiques de Bower et Wappalyzer et a cherché à identifier les librairies utilisées par les sites analysés. De plus, les chercheurs ont créé une extension Chrome pour créer l'arbre de causalité d'un site Web, utile pour montrer la raison pour laquelle une bibliothèque donnée a été importée, par exemple par inclusion directe ou de manière transitive via la publicité, le tracking ou le code des médias sociaux. L'étude a analysé plus de 133K sites Web, y compris les 75K premiers d'Alexa et 75K autres aléatoirement choisis dans le domaine .com. Cette sélection a permis de comparer les sites Web à fort trafic à d'autres moins populaires, avec des résultats sensiblement similaires.

Outre le constat déjà effectué de 37% de sites vulnérables, d'autres résultats notables de la recherche sont les suivants :

  • Les sites Web ont tendance à utiliser des versions étonnamment obsolètes de librairies tierces, avec un décalage médian étant de 1 177 jours (plus de trois ans) dans Alexa entre la version utilisée d'une librairie et sa version la plus récente.
  • L'inclusion des librairies vulnérables est souvent due à des composants externes tels que la publicité, le tracking ou les widgets des médias sociaux.
  • Un facteur de risque supplémentaire est l'inclusion en double d'une librairie, ce qui peut donner lieu à un comportement non déterministe en matière de vulnérabilité.

La recherche conclut qu'il n'est pas aisé de remédier à cet état de fait en raison de l'absence de correctifs de sécurité rétro-compatibles pour les librairies populaires et la manière dont est organisé l'écosystème JavaScript, sans :

... aucune base de données de vulnérabilité fiable, aucune liste de diffusion sécurisée maintenue par les fournisseurs de librairies, peu ou pas de détails sur les problèmes de sécurité dans les notes de version et souvent, la difficulté de déterminer quelles versions d'une bibliothèque sont affectées par une vulnérabilité spécifique.

Pourtant, cette étude semble être la première étape dans la bonne direction et elle mérite certainement d'être consultée par tous les développeurs intéressés par le développement JavaScript.

Evaluer cet article

Pertinence
Style

Contenu Éducatif

BT