L’utilisation de composants de logiciels libres (OSS) pendant le développement d’applications comporte des risques de sécurité, à la fois pour les organisations de développement et pour les utilisateurs finaux des applications. Cela a été démontré à de nombreuses reprises au cours de la dernière décennie, depuis la vulnérabilité Heartbleed dans OpenSSL (2014) jusqu’à la récente attaque de la chaîne d’approvisionnement sur XZ Utils (2024). Cette thèse aborde deux problèmes importants dans le domaine du développement de logiciels libres: la consommation de composants dont les vulnérabilités sont connues et la consommation de paquets malveillants. Le premier problème est abordé par le développement d’une approche centrée sur le code pour détecter, évaluer et mettre à jour les dépendances open source à vulnérabilité connue. Le deuxième problème est abordé en fournissant une description systématique des vecteurs d’attaque spécifiques aux logiciels libres, un examen des paquets malveillants utilisés dans des attaques réelles et une exploration des techniques d’attaque spécifiques à l’écosystème Java.