Les États-Unis pèsent sur la sécurité des logiciels open source
La crise de la vulnérabilité Log4kShell a mis en évidence la dépendance d'un grand nombre d'applications à l'égard d'un code open source géré par un faible nombre de développeurs. Bien que Log4j soit largement utilisé par les développeurs d'applications Java, ce petit nombre de contributeurs travaillant à la sécurisation du code est caractéristique de la plupart des projets open source, à l'exception sans doute de Linux.
Ce problème figure désormais en tête des priorités en matière de sécurité, car les entreprises continuent de repenser leurs chaînes d'approvisionnement en logiciels à la suite d'une série de violations très médiatisées. En fait, le conseiller à la sécurité nationale de la Maison Blanche, Jake Sullivan, a envoyé une lettre aux principales firmes de logiciels et aux développeurs pour les inviter à se pencher sur des initiatives visant à améliorer la sécurité des logiciels open source, en commençant par une conférence d'une journée organisée ce mois-ci par Anne Neuberger, conseillère adjointe à la sécurité nationale pour la cybernétique et les technologies émergentes.
Dans sa lettre, M. Sullivan a souligné que si les logiciels open source ont permis de stimuler l'innovation, la plupart d'entre eux sont gérés par des bénévoles. Il s'agit désormais d'un problème de sécurité nationale majeur, a-t-il écrit.
Les vulnérabilités des logiciels open source constituaient déjà une menace majeure avant même la découverte de la vulnérabilité Log4jShell.
L'Open Source Security Foundation (OpenSSF), une branche de la Fondation Linux, a levé 10 millions de dollars pour aider les diverses parties à adopter des bonnes pratiques et à mieux protéger les projets open source de tout code malveillant qui pourrait être injecté dans des logiciels par des acteurs mal intentionnés se faisant passer pour d'autres contributeurs au projet. Google s'est engagé à verser 1 million de dollars pour aider les développeurs open source à respecter les directives établies par la branche National Institute of Standards and Technology (NIST) du Département du Commerce américain en réponse au récent décret sur la cybersécurité de l'administration Biden. Gérée comme programme pilote par la Fondation Linux, cette initiative fait partie d'un engagement plus vaste de Google à hauteur de 10 milliards de dollars en faveur de la sécurité des logiciels open source.
La crise relative à la sécurité des logiciels open source s'articule autour d'un débat visant à déterminer qui devrait être responsable de la sécurité. Les contributeurs de ces projets indiquent qu'ils ont déjà consacré de nombreuses heures à la conception du projet. C'est aux entreprises qui exploitent ces logiciels gratuits de s'assurer que leur déploiement est sûr.
Indépendamment de la question de savoir qui devrait sécuriser ces logiciels, il apparaît clairement que beaucoup trop d'entreprises exploitent les logiciels open source sans apporter la moindre contribution à des projets open source. La Maison Blanche fait clairement savoir que les choses doivent changer. Les entreprises qui embauchent des développeurs au nom de l'intérêt général vont se voir demander par le gouvernement fédéral de contribuer de manière plus substantielle à la sécurisation des logiciels open source. Les États-Unis annoncent aujourd'hui qu'ils ont l'intention de surveiller les personnes qui contribuent aux projets open source destinés à être utilisés par les agences fédérales. Cela signifie que les fournisseurs de technologies de l'information qui s'appuient sur des logiciels open source non sécurisés seront bientôt, d'une manière ou d'une autre, tenus responsables de la sécurité de ces logiciels.
Ce problème figure désormais en tête des priorités en matière de sécurité, car les entreprises continuent de repenser leurs chaînes d'approvisionnement en logiciels à la suite d'une série de violations très médiatisées. En fait, le conseiller à la sécurité nationale de la Maison Blanche, Jake Sullivan, a envoyé une lettre aux principales firmes de logiciels et aux développeurs pour les inviter à se pencher sur des initiatives visant à améliorer la sécurité des logiciels open source, en commençant par une conférence d'une journée organisée ce mois-ci par Anne Neuberger, conseillère adjointe à la sécurité nationale pour la cybernétique et les technologies émergentes.
Dans sa lettre, M. Sullivan a souligné que si les logiciels open source ont permis de stimuler l'innovation, la plupart d'entre eux sont gérés par des bénévoles. Il s'agit désormais d'un problème de sécurité nationale majeur, a-t-il écrit.
Les vulnérabilités des logiciels open source constituaient déjà une menace majeure avant même la découverte de la vulnérabilité Log4jShell.
L'Open Source Security Foundation (OpenSSF), une branche de la Fondation Linux, a levé 10 millions de dollars pour aider les diverses parties à adopter des bonnes pratiques et à mieux protéger les projets open source de tout code malveillant qui pourrait être injecté dans des logiciels par des acteurs mal intentionnés se faisant passer pour d'autres contributeurs au projet. Google s'est engagé à verser 1 million de dollars pour aider les développeurs open source à respecter les directives établies par la branche National Institute of Standards and Technology (NIST) du Département du Commerce américain en réponse au récent décret sur la cybersécurité de l'administration Biden. Gérée comme programme pilote par la Fondation Linux, cette initiative fait partie d'un engagement plus vaste de Google à hauteur de 10 milliards de dollars en faveur de la sécurité des logiciels open source.
La crise relative à la sécurité des logiciels open source s'articule autour d'un débat visant à déterminer qui devrait être responsable de la sécurité. Les contributeurs de ces projets indiquent qu'ils ont déjà consacré de nombreuses heures à la conception du projet. C'est aux entreprises qui exploitent ces logiciels gratuits de s'assurer que leur déploiement est sûr.
Indépendamment de la question de savoir qui devrait sécuriser ces logiciels, il apparaît clairement que beaucoup trop d'entreprises exploitent les logiciels open source sans apporter la moindre contribution à des projets open source. La Maison Blanche fait clairement savoir que les choses doivent changer. Les entreprises qui embauchent des développeurs au nom de l'intérêt général vont se voir demander par le gouvernement fédéral de contribuer de manière plus substantielle à la sécurisation des logiciels open source. Les États-Unis annoncent aujourd'hui qu'ils ont l'intention de surveiller les personnes qui contribuent aux projets open source destinés à être utilisés par les agences fédérales. Cela signifie que les fournisseurs de technologies de l'information qui s'appuient sur des logiciels open source non sécurisés seront bientôt, d'une manière ou d'une autre, tenus responsables de la sécurité de ces logiciels.
Rechercher dans le blog
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.
