Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

A year of open source vulnerability trends: CVEs, advisories, and malware

1 minute de lecture

Mis à jour :

Analyse 2025 : Tendances des vulnérabilités open source sur GitHub

En 2025, GitHub a publié 4 101 avis de sécurité examinés, une baisse globale due à la diminution des vulnérabilités anciennes traitées. Cependant, les signalements de nouvelles vulnérabilités ont augmenté de 19 % par rapport à l’année précédente. L’année a également été marquée par une forte hausse des activités malveillantes sur npm, avec une augmentation de 69 % des avis sur les logiciels malveillants.

Points clés

  • Amélioration de la donnée : La précision du marquage CWE a progressé, avec une réduction de 85 % des avis sans classification CWE. Les avis utilisent désormais davantage de balises multiples pour mieux décrire les modes de défaillance.
  • Écosystèmes : Maven, Composer et npm restent les plus touchés. Go est en surreprésentation (+6 %) suite à des campagnes de nettoyage de données.
  • Rôle de CNA : GitHub a publié 2 903 CVE, soit une hausse de 35 %. Pour la première fois, le nombre de CVE publiés pour des projets hors écosystèmes officiellement supportés a dépassé celui des écosystèmes standards.

Vulnérabilités récurrentes (CWE)

Les menaces les plus fréquentes incluent :

  • CWE-79 : Cross-site scripting (n°1).
  • CWE-22 : Manipulation de chemin (Path Traversal).
  • CWE-863 : Autorisation incorrecte (en forte hausse suite à une reclassification).
  • CWE-400 / CWE-770 : Épuisement des ressources.
  • CWE-502 : Désérialisation non sécurisée.
  • CWE-918 : Falsification de requête côté serveur (SSRF).

Recommandations

  • Priorisation : Utiliser une combinaison des scores CVSS (gravité de l’impact) et EPSS (probabilité d’exploitation réelle) pour trier efficacement les alertes.
  • Surveillance : Activer les alertes Dependabot pour détecter les versions malveillantes de paquets npm.
  • Gestion des vulnérabilités :
    • Publier ses propres CVE via le service CNA de GitHub pour simplifier la coordination.
    • Implémenter des politiques de sécurité et le signalement privé dans les dépôts.
    • Contribuer à l’exactitude de la base de données en suggérant des corrections sur les avis imprécis.
  • Outillage : Configurer les règles de tri automatique de Dependabot pour filtrer les alertes par type de CWE.

Source

Vous pourriez aimer