
Le CII est un projet visant à financer et soutenir des projets de logiciels libres et open source qui sont essentiels pour le fonctionnement de l'Internet et d'autres grands systèmes d'information. Le projet a été annoncé il y a un peu plus d’un an de cela, suite à la vulnérabilité critique Heartbleed dans OpenSSL, sachant ce dernier est utilisé sur des millions de sites Web.
Vu que bon nombre de logiciels open source sont largement utilisés, une vulnérabilité pourrait avoir de graves conséquences. Si en effet, certains projets mobilisent de nombreux développeurs qui effectuent des analyses de sécurité en profondeur, d’autres par contre ne bénéficient que de petites équipes qui n’ont pas toujours le temps d’effectuer les tâches nécessaires pour garantir une forte sécurité. Le projet CII vise donc à recenser cette 2è catégorie de projets qui nécessitent plus d’attention des développeurs afin d’y investir dès maintenant, avant que des problèmes de sécurité ne surviennent. Ces projets ont donc été identifiés lors d’une enquête de la fondation.
Les résultats de l’enquête montrent que les développeurs accordent beaucoup plus d’importance aux outils de chiffrement, serveurs web et agents de messagerie entre autres. Toutefois, il existe aussi des packages utilisés par tous mais dont personne ne se soucie vraiment.
Parmi les 394 projets sélectionnés, les projets ftp, netcat-traditional, tcdp et whois sont en tête du classement avec une note de 11/16. Le score est un indice synthétique construit à partir de plusieurs métriques. Les métriques évaluent l’exposition à des risques de sécurité des différents projets en s’intéressant à la maintenance effectivement reçue pour chaque projet, le nombre de contributeurs, la popularité, l’importance et le nombre de CVE associés au projet entre autres. Il faut avant tout noter qu’un score élevé ne signifie pas que le projet doit être abandonné ou qu’il est vulnérable. Les grands scores indiquent seulement que le projet mérite plus d’attention et d’investissement en sécurité qu’il en a actuellement.
De ce fait, le projet OpenSSL a un score plus faible de 8/16, après avoir bénéficié d’un financement suite à la vulnérabilité Heartbleed. Le projet apache2 relatif au méta-package d’Apache HTTP Server est un vaste projet « d’une importance vitale » qui a enregistré de nombreuses vulnérabilités au fil des ans. Cependant, il a également obtenu une note de 8/16 en partie grâce à « un grand développement et une équipe de suivi déjà en place. »
Les résultats révèlent aussi que certains outils liés à BIND, l’un des serveurs DNS les plus utilisés sur internet, spécialement pour les systèmes de type UNIX, nécessitent plus d’investissements en sécurité. Le projet bind9 par exemple a obtenu un score de 8/16.
Parmi les projets qui mériteraient plus d’attention de la part des développeurs, figure le projet bzip2. Bzip2 est largement utilisé pour la décompression de données de réseau. Toutefois, il ne bénéficie d’aucun référentiel de code, seulement des archives des codes sources publiés. Sa dernière mise à jour date de 2010, en réponse à une vulnérabilité. Aucun forum ne lui est associé. Le projet vient en 9è position dans le classement avec une note de 9/16. Plus de détails sur les notations des autres projets de la liste sont donnés sur la page GitHub de la Fondation Linux.
Il faut aussi noter que dans cette première enquête, seuls les projets open source associés à Debian Linux ont été pris en compte, par contrainte de temps.
Sources : Projet de recensement, Résultats de l’enquête
Et vous ?

Vous avez lu gratuitement 2 701 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.