Sous pression après la découverte de plusieurs vulnérabilités, dont Log4Shell, dans du code source ouvert, les principaux groupes et éditeurs de logiciels open source ont créé un plan en 10 points pour assurer l’amélioration continues de la sécurité des logiciels open source.
Le plan, publié jeudi dernier avec l’aval de la Maison Blanche, comprend des engagements de financement de 30 millions de dollars américains d’Amazon, Google, Intel, Microsoft et VMware. Il a été annoncé par des membres seniors de la Linux Foundation et de l’Open Source Security Foundation (OpenSSF).
Le plan « représente un effort collectif contre 10 cibles différentes où un travail significatif peut être effectué pour apporter une amélioration substantielle de l’état de la sécurité open source », a déclaré aux journalistes Brian Behlendorf, directeur général d’OpenSSF.
« Il faut le voir comme un premier jet », a-t-il ajouté, « avec des objectifs spécifiques pour résoudre ces problèmes clés. Nous continuerons de travailler avec les parties prenantes. Maintenant qu’il est rendu public, nous chercherons également de nouveaux participants pour poursuivre l’élaboration de ce plan. »
Le processus a officiellement débuté en janvier avec une réunion à la Maison Blanche entre des éditeurs de logiciels, des experts du gouvernement américain et des fondations de logiciels open source pour trouver des moyens d’empêcher les failles de sécurité et les vulnérabilités de se retrouver dans le code source ouvert, d’améliorer la découverte et la correction des vulnérabilités et de raccourcir le temps de réponse pour la distribution et la mise en œuvre des correctifs.
Les logiciels et composants open source sont de plus en plus utilisés non seulement dans les applications open source mais aussi dans les logiciels commerciaux. Cependant, de nombreux composants sont créés par des développeurs individuels travaillant sur des modules pendant leur temps libre. Souvent, ils n’ont pas le temps ou l’incitatif financier pour rechercher ou répondre aux signalements de vulnérabilités. En conséquence, certains bogues importants peuvent se cacher dans les logiciels pendant des années.
Les vulnérabilités de la bibliothèque de journalisation Log4j2 ne sont que le dernier exemple.
Le plan de mobilisation publié jeudi dernier est composé d’une série de 10 volets d’activités proposés pour atteindre les trois objectifs énoncés lors de la réunion de janvier.
Lire aussi :
Les agences du Groupe des cinq prédisent une augmentation des attaques
Les tendances des rançongiciels
Microsoft élargit son offre de solutions de sécurité gérées
Traduction et adaptation française par Renaud Larue-Langlois
