L’industrie de la technologie informatique se mobilise pour rendre l’utilisation du logiciel libre plus sécuritaire
CybersecurityDive nous apprend qu’au début de l’année 2022, la Maison-Blanche a convoqué les hauts responsables de la sécurité nationale et de la cybersécurité afin de discuter des moyens à prendre pour corriger la récurrence d’une nouvelle vulnérabilité de la bibliothèque logicielle utilitaire Log4j d’Apache. L’objectif était de mieux protéger les États-Unis contre les cyberattaques malveillantes qui visent des plates-formes et des logiciels non sécurisés, c’est-à-dire les logiciels libres (open source software ou OSS).
Lors de ce sommet, les principaux fournisseurs de technologie ont demandé la création d’un partenariat public-privé pour aider à financer et à établir des normes pour la communauté de logiciels libres. À la suite de ce sommet, explique TechCrunch, les géants de la technologie comme Amazon, Google, Ericsson, Intel et Microsoft se sont engagés à investir 30 millions de dollars sur une période de deux ans pour renforcer la sécurité de la chaîne d’approvisionnement des logiciels libres.
Lors de ce rassemblement tenu au mois de mai et auquel ont participé des responsables gouvernementaux de 90 pays en plus de 37 entreprises, les chefs de file du logiciel libre, dirigés par la Linux Foundation et l’Open Source Software Security Foundation (OpenSSF), ont dévoilé leur plan pour améliorer la sécurité de la chaîne d’approvisionnement logicielle : le Software Supply Chain Security Mobilization Plan.
The Linux Fondation Projects explique que les 10 flux d’investissement faisant partie de ce plan détaillent des mesures d’action concrète pour améliorer la résilience et la sécurité des logiciels libres :
- Offrir à toutes les parties prenantes une formation et une certification de base en développement de logiciels sécurisés.
- Établir un tableau de bord d’évaluation des risques, indépendant du fournisseur technologique, dont l’objectivité sera fondée sur des indicateurs des 10 000 principaux composants des logiciels libres (OSS).
- Accélérer l’adoption des signatures numériques pour les nouvelles versions des logiciels livrés sur le marché.
- Éliminer les facteurs sous-jacents de nombreuses vulnérabilités en remplaçant les langages non sécurisés.
- Former une équipe d’experts en sécurité, l’OpenSSF Incident Response, pour mieux protéger les projets des logiciels libres et réduire le temps de réponse aux vulnérabilités nouvellement découvertes.
- Accélérer la recherche de nouvelles vulnérabilités grâce à des outils de sécurité avancés et à la disponibilité des experts-conseils.
- Une fois par an, réviser les codes tierces, et tout travail de correction nécessaire, de jusqu’à 200 des composants OSS les plus critiques.
- Coordonner le partage de données dans l’industrie pour encourager la recherche pouvant contribuer à déterminer les composants OSS les plus critiques.
- Améliorer l’outillage et la formation au sujet de SBOM, la nomenclature logicielle créée pour encourager l’adoption du logiciel libre.
- Améliorer les chaînes d’approvisionnement en logiciels.
CybersecurityDive nous apprend qu’au début de l’année 2022, la Maison-Blanche a convoqué les hauts responsables de la sécurité nationale et de la cybersécurité afin de discuter des moyens à prendre pour corriger la récurrence d’une nouvelle vulnérabilité de la bibliothèque logicielle utilitaire Log4j d’Apache. L’objectif était de mieux protéger les États-Unis contre les cyberattaques malveillantes qui visent des plates-formes et des logiciels non sécurisés, c’est-à-dire les logiciels libres (open source software ou OSS).
Lors de ce sommet, les principaux fournisseurs de technologie ont demandé la création d’un partenariat public-privé pour aider à financer et à établir des normes pour la communauté de logiciels libres. À la suite de ce sommet, explique TechCrunch, les géants de la technologie comme Amazon, Google, Ericsson, Intel et Microsoft se sont engagés à investir 30 millions de dollars sur une période de deux ans pour renforcer la sécurité de la chaîne d’approvisionnement des logiciels libres.
Lors de ce rassemblement tenu au mois de mai et auquel ont participé des responsables gouvernementaux de 90 pays en plus de 37 entreprises, les chefs de file du logiciel libre, dirigés par la Linux Foundation et l’Open Source Software Security Foundation (OpenSSF), ont dévoilé leur plan pour améliorer la sécurité de la chaîne d’approvisionnement logicielle : le Software Supply Chain Security Mobilization Plan.
The Linux Fondation Projects explique que les 10 flux d’investissement faisant partie de ce plan détaillent des mesures d’action concrète pour améliorer la résilience et la sécurité des logiciels libres :
- Offrir à toutes les parties prenantes une formation et une certification de base en développement de logiciels sécurisés.
- Établir un tableau de bord d’évaluation des risques, indépendant du fournisseur technologique, dont l’objectivité sera fondée sur des indicateurs des 10 000 principaux composants des logiciels libres (OSS).
- Accélérer l’adoption des signatures numériques pour les nouvelles versions des logiciels livrés sur le marché.
- Éliminer les facteurs sous-jacents de nombreuses vulnérabilités en remplaçant les langages non sécurisés.
- Former une équipe d’experts en sécurité, l’OpenSSF Incident Response, pour mieux protéger les projets des logiciels libres et réduire le temps de réponse aux vulnérabilités nouvellement découvertes.
- Accélérer la recherche de nouvelles vulnérabilités grâce à des outils de sécurité avancés et à la disponibilité des experts-conseils.
- Une fois par an, réviser les codes tierces, et tout travail de correction nécessaire, de jusqu’à 200 des composants OSS les plus critiques.
- Coordonner le partage de données dans l’industrie pour encourager la recherche pouvant contribuer à déterminer les composants OSS les plus critiques.
- Améliorer l’outillage et la formation au sujet de SBOM, la nomenclature logicielle créée pour encourager l’adoption du logiciel libre.
- Améliorer les chaînes d’approvisionnement en logiciels.