Le projet de loi sur la sécurité des logiciels à code source ouvert gagne du terrain

Un projet de loi promettant de rendre les logiciels à code source ouvert accessibles a été soumis à un vote important de la commission sénatoriale (11 contre 1), qui a décidé de le soumettre au Sénat.

Soutenu par les sénateurs Gary Peters (D-MI), président de la commission de la sécurité intérieure et des affaires gouvernementales, et Josh Hawley (R-MO), le projet de loi semble bénéficier d'un rare soutien de la part des démocrates et des républicains.

Plus précisément, la loi sur les logiciels de sécurité à code source ouvert chargerait la CISA (Cybersecurity and Infrastructure Security Agency) de définir un cadre de risque pour déterminer la manière dont le code source ouvert est utilisé par le gouvernement fédéral. La CISA évaluera également comment ce cadre pourrait être utilisé volontairement par les propriétaires et les exploitants d'infrastructures critiques.

La législation impose également à la CISA d'embaucher des professionnels expérimentés dans le développement de logiciels à code source ouvert afin de garantir la collaboration entre le gouvernement et la communauté, et à l'Office of Management and Budget (OMB) de publier des directives à l'intention des agences fédérales sur l'utilisation sécurisée des logiciels à code source ouvert.

Enfin, le projet de loi prévoit que le comité consultatif sur la cybersécurité de la CISA crée un sous-comité sur la sécurité des logiciels.

Tout cela représente un certain niveau de progrès, mais, comme toujours, tout se joue dans les détails. Une analyse de 41 989 composants à code source ouvert intégrés dans les 44 projets les plus populaires gérés par l'Apache Software Foundation (ASF), réalisée par Lineaje, fournisseur d'une plateforme de sécurisation des chaînes d'approvisionnement en logiciels, révèle que plus d'un quart (26 %) des vulnérabilités connues ne peuvent pas être corrigées par l'équipe de développement de l'application qui les déploie. En outre, le rapport indique que 64 % des vulnérabilités analysées n'ont pas encore été corrigées.

Dans l'ensemble, 68 % des vulnérabilités analysées sont dues à des dépendances créées lorsqu'un projet de logiciel open source incluait un composant ou un package développé par un autre responsable de logiciel open source. Ainsi, même si une entreprise souhaitait mettre à jour une application contenant des composants open source, elle ne le pourrait probablement pas. Globalement, le rapport conclut que 90 % des dépendances à l'égard des logiciels à code source ouvert sont transitives, c'est-à-dire qu'elles sont créées lorsque les responsables d'un projet ont inclus un composant à code source ouvert créé par une autre entité et présentant des vulnérabilités. Selon le rapport, seulement 10 % des vulnérabilités découvertes résultent d'une dépendance qu'une équipe de développement d'applications pourrait résoudre par elle-même.

Malgré ces problèmes, des efforts considérables sont déployés pour aider les responsables de projets à code source ouvert à développer des logiciels plus sûrs. L'Open Source Security Foundation (OpenSSF), une branche de la Linux Foundation, mène une initiative visant à mieux sécuriser les logiciels à code source ouvert en se concentrant sur dix flux d'investissement qui, au total, nécessiteront plus de 150 millions de dollars de financement pour favoriser une plus grande adoption des meilleures pratiques DevSecOps parmi les développeurs de projets de logiciels à code source ouvert.

Malheureusement, de nombreux projets de logiciels à code source ouvert sont gérés par des équipes restreintes de programmeurs qui donnent volontairement de leur temps et de leurs compétences pour concevoir des outils, accessibles ensuite gratuitement par la communauté. Comme pour tout autre développeur, le niveau d'expertise de ces personnes en matière de sécurité est limité. Malgré tout l'intérêt pour les logiciels à code source ouvert émanant du Congrès et de la Maison Blanche, la poursuite de ces objectifs nécessitera bien plus qu'une signature présidentielle approuvant un texte de loi du Congrès.