Open source, token et sécurité : mariage impossible?

A l’heure des micro-services, les applications sont rapides à développer. Par-contre, les solutions développées sont peu autonomes : elles consomment des micro-services internet qui apportent une intelligence prête à l’emploi bien pratique.

Or, consommer des micro-services implique l’utilisation de token de sécurité, des codes d’accès aux API’s délivrés par le fournisseur de service.

Pour accélérer leur rythme, il est fréquent que les développeurs récupèrent du code sur les plateformes de développement collaboratif. Le partage du code source est un des principes fondamentaux de la communauté Open Source.

Il suffit de se plonger dans les codes partagés sur les plateformes de partage de code Open Source pour constater que certains développements publiés contiennent les codes d’accès aux API’s en dur : le secret protégeant les accès aux micro-services et aux données et ainsi violé. Il suffit de copier les clés pour accéder directement aux micro-services.

Le paradigme de la sécurité change

Le paradigme actuel vis-à-vis de la sécurité évolue, nous constatons que les risques d’intrusion ne prennent plus uniquement leur source dans un système en production. Les risques de sécurité prennent aussi leur source dans les pratiques de développement.

Le management des pratiques de développement est une activité qui prend de l’importance pour la sécurité.

Comment tirer parti de l’Open Source tout en sécurisant son SI? 

Conformément à l’esprit du référentiel ISO27001, des mesures adaptées doivent être mises en place. Par exemple :

Mener des audits de code par des revues de pair (peer review)

Utiliser des outils d’analyse automatique de code

Mettre en place un socle interne de micro-service

Analyser les architectures applicatives avant de livrer des MVP (applications en production)

Si vous souhaitez en savoir plus, consultez nos domaines d’intervention.