Éviter les dommages causés par WannaCry, Petya, & Co.

SAP HotNews, SAP TopNotes, SAP Security Notes et SAP Legal Change Notes aident les dizaines de milliers de clients SAP à éviter de manière proactive les problèmes et les risques ou à les résoudre le plus rapidement possible.

Même dans le cas des applications mobiles, les utilisateurs sont généralement informés automatiquement des nouvelles versions des applications qui ne se contentent pas d'étendre les fonctionnalités, mais qui résolvent des problèmes connus et comblent des lacunes de sécurité. Malheureusement, ce n'est pas le cas pour la plupart des composants open source !

Menaces hors du radar

Dans ce domaine, la presse spécialisée et quotidienne ne publie généralement des articles et des avertissements sur les menaces actuelles que lorsque des centaines de milliers de systèmes ont déjà été touchés et/ou qu'un dommage important a été causé.

Les développeurs de logiciels doivent s'informer eux-mêmes des nouvelles versions et des versions actuelles, ce qui prend beaucoup de temps et d'efforts. Cela devient encore plus difficile lorsque des composants open source sont eux-mêmes intégrés dans d'autres composants, ce qui est souvent le cas.

C'est pourquoi, contrairement aux cas WannaCry et Petya qui sont "bien en vue", la plupart des menaces vraiment critiques ne sont même pas sur le radar de la plupart des responsables informatiques.

Exemples actuels

"Spring" est l'un des frameworks Java les plus utilisés. Peu d'entreprises de la communauté SAP sont susceptibles d'utiliser Java sans Spring, et plus de 10.000 paquets logiciels open source reposent sur lui. La version 4.3.4 a été publiée il y a seulement huit mois, mais elle est vulnérable et constitue donc une porte d'entrée importante pour les attaquants potentiels.

Struts2" est également très répandu, par exemple avec SAP CrystalReports, le SAP JCO, jQuery, et est fortement menacé.

Rares sont les applications Java qui n'utilisent pas les "Apache Common Beanutils", comme par exemple dans l'environnement SAP Hana Cloud. Dans ce domaine, pratiquement toutes les versions antérieures à la version 1.9.2 sont vulnérables et donc risquées pour les utilisateurs.

Bonne nouvelle : il existe une solution de surveillance automatique et gratuite. VersionEye, de la start-up du même nom basée à Mannheim, propose quasiment une sorte d'"OpenSourceNotes" en complément des "SAPnotes" qui ont parfaitement fait leurs preuves, et est elle-même 100 % open source (sous licence MIT).

Aujourd'hui, plus de 1,4 million de projets open source développés dans 16 langages de programmation différents, tels que Java, Java-Script, PHP et "R" (le langage important pour Hana), sont déjà surveillés.

Plus de 45.000 utilisateurs enregistrés et 500.000 visiteurs mensuels (dans le monde entier) utilisent déjà ce service pour minimiser activement les risques liés aux logiciels open source.

VersionEye informe automatiquement et activement 24 x 7 des nouvelles versions des composants open source ("Version Notes"), des éventuels problèmes de licence ("License Notes") et des risques de sécurité ("Security Notes").

Et ce, non pas selon le principe du "coup de fusil", mais de manière ciblée, uniquement pour les composants open source réellement concernés et également utilisés par l'utilisateur.

Fabriqué en Allemagne et gratuit

Contrairement à d'autres services américains similaires, coûteux et propriétaires, aucun code client n'est transféré sur des serveurs aux États-Unis. Comme VersionEye est lui-même un logiciel 100 % open source, la solution est totalement transparente et peut être analysée et même adaptée si nécessaire.

Des services d'entreprise sont proposés pour la mise en œuvre des meilleures pratiques d'utilisation de l'open source dans l'écosystème SAP, l'intégration transparente dans les environnements d'entreprise et les accords de niveau de service. Les clients d'entreprise sont entre autres Blinkist, Seeburger et Xing.