Linux Foundation initie un nouveau programme
Pour améliorer la sécurité des logiciels open source

Le , par Michael Guilloux, Chroniqueur Actualités
Mieux vaut prévenir que guérir. Les leaders de l’open source multiplient les efforts pour renforcer la sécurité des logiciels open source, avant qu’ils ne deviennent une cible fréquente pour les pirates.

Le mois dernier, dans le cadre de son projet baptisé Core Infrastructure Initiative (CII), la fondation Linux a fait un examen des logiciels open source Linux Debian afin d’en déterminer ceux qui nécessitent plus d’attention de la part des développeurs du point de vue de la sécurité. L’objectif était de pouvoir ensuite mobiliser les ressources humaines et financières pour renforcer la sécurité de ces projets.

Le CII est en fait un projet qui réunit entreprises de technologie, développeurs et certains acteurs de l’industrie. Tous doivent collaborer pour identifier et financer les projets de logiciels libres et open source essentiels pour le fonctionnement de l’Internet et d’autres grands systèmes d’information qui ont besoin d’une assistance.

Le fait est que de plus en plus de services en ligne utilisés aujourd’hui reposent sur les logiciels open source. Ce qui pourrait donc progressivement attirer l'attention des pirates à la recherche de failles dans la sécurité des logiciels à exploiter. Pour protéger les services en ligne qui reposent sur l’open source, Linux Foundation veut compter sur une équipe dédiée de professionnels de sécurité pour anticiper les éventuels problèmes de sécurité et les corriger.

Dans la poursuite de son objectif de sécurité, le projet Core Infrastructure Initiative a initié un nouveau programme baptisé Badge Program. A travers ce programme axé sur la sécurité, le CII invite la communauté open source à faire des propositions sur les critères à utiliser pour déterminer la sécurité, la qualité et la stabilité des logiciels open source.

Le Badge Program est destiné à encourager les projets de logiciels open source à prendre en considération à la fois la sécurité et la qualité et aider les utilisateurs à savoir quels projets prennent en considération ces différents aspects. Il vise à garantir un « modèle de développement open source sécurisé ». Il permettra de s’assurer que « les nouveaux projets ne dépendent que des projets open source les plus sains, améliorant ainsi notre infrastructure mondiale de l’Internet », explique Emily Ratliff, directeur senior de la sécurité d’infrastructure chez Linux Foundation.

Une première ébauche du projet de critères est disponible sur GitHub et est dirigée par David Wheeler, un expert de l'open source et de la sécurité qui travaille pour l'Institut for Defense Analyses (IDA) et Dan Kohn, un conseiller senior du projet CII.

Le CII a également renforcé son conseil consultatif par deux personnalités imminentes de la cyber-sécurité. Il s’agit d’Adam Shostack, membre du conseil d’examen du BlackHat, et Tom Ritter, directeur de Cryptography Services de CCN Group.

Source : Market Wired, GitHub

Et vous ?

Que pensez-vous des efforts de Linux Foundation pour renforcer la sécurité des projets open source ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de Davidbrcz Davidbrcz - Rédacteur https://www.developpez.com
le 19/08/2015 à 23:06
Arrêtons d'écrire des logiciels en C, et le sécurité sera mécaniquement augmentée.
Avatar de Goedulf Goedulf - Membre du Club https://www.developpez.com
le 19/08/2015 à 23:57
Citation Envoyé par Davidbrcz


Arrêtons d'écrire des logiciels en C, et le sécurité sera mécaniquement augmentée.

Exact, mieux vaudrait un noyau Linux écrit en Visual Basic.
Avatar de Davidbrcz Davidbrcz - Rédacteur https://www.developpez.com
le 20/08/2015 à 2:16
Citation Envoyé par Goedulf Voir le message
Exact, mieux vaudrait un noyau Linux écrit en Visual Basic.
Essayons d'être constructif :

Le C est un langage de niche qui ne doit être réservé qu'à quelques cas particuliers (composant systèmes bas niveau, systèmes embarqués, code glu entre 2 langages,...).

Un bon paquet de logiciels qu'on utilise tout les jours gagnerait en sécurité et en simplicité à ne pas être écrits en C. Après y'a l'inertie technique, mais quand même...
Plus vite on circonscrira le C aux endroits où il est indispensable, mieux on se portera.
Avatar de - https://www.developpez.com
le 20/08/2015 à 3:47
Citation Envoyé par Davidbrcz Voir le message
Essayons d'être constructif :

Le C est un langage de niche qui ne doit être réservé qu'à quelques cas particuliers (composant systèmes bas niveau, systèmes embarqués, code glu entre 2 langages,...).

Un bon paquet de logiciels qu'on utilise tout les jours gagnerait en sécurité et en simplicité à ne pas être écrits en C. Après y'a l'inertie technique, mais quand même...
Plus vite on circonscrira le C aux endroits où il est indispensable, mieux on se portera.
Comme d'habitude le radicale sur les conditions d'usages a détrôner l'appauvrissement de langages pour des circonstances données.
Cependant rien au sujet de la N.S.A. et de leurs équivalents des autres pays (si il y en a).
Encore moins au sujet de beaucoup plus sensible en étique...
Avatar de jopopmk jopopmk - Membre expert https://www.developpez.com
le 20/08/2015 à 8:24
Citation Envoyé par Davidbrcz Voir le message
Arrêtons d'écrire des logiciels en C, et le sécurité sera mécaniquement augmentée.
Au profit du C++ ... ?
Avatar de imikado imikado - Rédacteur https://www.developpez.com
le 20/08/2015 à 9:32
Vous pensez que IE est écrit en C ?

Idem pour les sites internet, dont nombre d'entre eux souffrent de failles (xss, xsrf, sql injection, null byte...)

Le langage ne fait pas tout
Avatar de Beanux Beanux - Membre éclairé https://www.developpez.com
le 20/08/2015 à 9:49
Citation Envoyé par Davidbrcz Voir le message
Arrêtons d'écrire des logiciels en C, et le sécurité sera mécaniquement augmentée.
Citation Envoyé par Davidbrcz Voir le message
Essayons d'être constructif :

Le C est un langage de niche qui ne doit être réservé qu'à quelques cas particuliers (composant systèmes bas niveau, systèmes embarqués, code glu entre 2 langages,...).

Un bon paquet de logiciels qu'on utilise tout les jours gagnerait en sécurité et en simplicité à ne pas être écrits en C. Après y'a l'inertie technique, mais quand même...
Plus vite on circonscrira le C aux endroits où il est indispensable, mieux on se portera.
Comme tu dis, soyons constructif,
Tu as des exemple de langages "sûr" ?
Tu as des arguments à apporter pour justifier que C est moins sûr ?
Mis à par que ce soit un langage plutôt bas niveau et qu'il y est plus simple de faire des erreurs (donc erreurs provenant du développeur).

Le langage est loin de d’être les premières raisons de l'insécurité du code.
Avatar de Goedulf Goedulf - Membre du Club https://www.developpez.com
le 20/08/2015 à 11:23
Citation Envoyé par Davidbrcz
Essayons d'être constructif :

Le C est un langage de niche qui ne doit être réservé qu'à quelques cas particuliers (composant systèmes bas niveau, systèmes embarqués, code glu entre 2 langages,...).

Un bon paquet de logiciels qu'on utilise tout les jours gagnerait en sécurité et en simplicité à ne pas être écrits en C. Après y'a l'inertie technique, mais quand même...
Plus vite on circonscrira le C aux endroits où il est indispensable, mieux on se portera
Ah pardon je pensais que c'était pour plaisanter alors j'ai feed...
Je ne suis pas sûr qu'on puisse dire aussi facilement que ça que tel language est plus sécurisé que le C, ni même cantonné celui-ci à de l'utilisation purement bas niveau
Comme dit précédemment, on ne peut pas réduire la sécurité au simple choix d'un language, ça se saurait
Avatar de AoCannaille AoCannaille - Membre émérite https://www.developpez.com
le 20/08/2015 à 11:24
Citation Envoyé par Beanux Voir le message
Comme tu dis, soyons constructif,
Tu as des exemple de langages "sûr" ?
d'un point de vu manipulation de la mémoire, je pense que l'ADA peut limiter pas mal de truc.
J'ai ouïe dire aussi que par conception les langages fonctionnels garantissent l'absence d'effet de bord, donc par conception aussi, limiter certains problèmes (en général difficiles à débusquer en plus).

Après pour moi le problème est global, il n'y a pas de raison d'attaquer le C.
Avatar de RyzenOC RyzenOC - Inactif https://www.developpez.com
le 20/08/2015 à 14:50
En quoi changer de langage apporterais une meilleur sécurité ?
C'est comme avec les bugs, c'est pas en changeant de langage qu'ils vont se corriger tous seul.

Les failles proviennes des logiciels que les développeurs convoient, rarement du langage ou du compilateur.

Bien évidement je parle uniquement des langages matures et qui sont activement suivie, (comme le C et le compilateur gcc...)
Contacter le responsable de la rubrique Accueil