Mieux vaut prévenir que guérir. Les leaders de l’open source multiplient les efforts pour renforcer la sécurité des logiciels open source, avant qu’ils ne deviennent une cible fréquente pour les pirates.
Le mois dernier, dans le cadre de son projet baptisé Core Infrastructure Initiative (CII), la fondation Linux a fait un examen des logiciels open source Linux Debian afin d’en déterminer ceux qui nécessitent plus d’attention de la part des développeurs du point de vue de la sécurité. L’objectif était de pouvoir ensuite mobiliser les ressources humaines et financières pour renforcer la sécurité de ces projets.
Le CII est en fait un projet qui réunit entreprises de technologie, développeurs et certains acteurs de l’industrie. Tous doivent collaborer pour identifier et financer les projets de logiciels libres et open source essentiels pour le fonctionnement de l’Internet et d’autres grands systèmes d’information qui ont besoin d’une assistance.
Le fait est que de plus en plus de services en ligne utilisés aujourd’hui reposent sur les logiciels open source. Ce qui pourrait donc progressivement attirer l'attention des pirates à la recherche de failles dans la sécurité des logiciels à exploiter. Pour protéger les services en ligne qui reposent sur l’open source, Linux Foundation veut compter sur une équipe dédiée de professionnels de sécurité pour anticiper les éventuels problèmes de sécurité et les corriger.
Dans la poursuite de son objectif de sécurité, le projet Core Infrastructure Initiative a initié un nouveau programme baptisé Badge Program. A travers ce programme axé sur la sécurité, le CII invite la communauté open source à faire des propositions sur les critères à utiliser pour déterminer la sécurité, la qualité et la stabilité des logiciels open source.
Le Badge Program est destiné à encourager les projets de logiciels open source à prendre en considération à la fois la sécurité et la qualité et aider les utilisateurs à savoir quels projets prennent en considération ces différents aspects. Il vise à garantir un « modèle de développement open source sécurisé ». Il permettra de s’assurer que « les nouveaux projets ne dépendent que des projets open source les plus sains, améliorant ainsi notre infrastructure mondiale de l’Internet », explique Emily Ratliff, directeur senior de la sécurité d’infrastructure chez Linux Foundation.
Une première ébauche du projet de critères est disponible sur GitHub et est dirigée par David Wheeler, un expert de l'open source et de la sécurité qui travaille pour l'Institut for Defense Analyses (IDA) et Dan Kohn, un conseiller senior du projet CII.
Le CII a également renforcé son conseil consultatif par deux personnalités imminentes de la cyber-sécurité. Il s’agit d’Adam Shostack, membre du conseil d’examen du BlackHat, et Tom Ritter, directeur de Cryptography Services de CCN Group.
Source : Market Wired, GitHub
Et vous ?
Que pensez-vous des efforts de Linux Foundation pour renforcer la sécurité des projets open source ?
Linux Foundation initie un nouveau programme
Pour améliorer la sécurité des logiciels open source
Linux Foundation initie un nouveau programme
Pour améliorer la sécurité des logiciels open source
Le , par Michael Guilloux
Une erreur dans cette actualité ? Signalez-nous-la !