La Linux Foundation lance l'Open Source Security Foundation (OpenSSF) pour améliorer la sécurité des logiciels open source,
grâce à une communauté plus large et des initiatives ciblées

Les logiciels open source sont devenus monnaie courante dans toutes sortes d'environnements. En raison de son processus de développement, le logiciel open source qui atteint les utilisateurs finaux a une chaîne de contributeurs et de dépendances. Il est important que les responsables de la sécurité de leur utilisateur ou de leur organisation soient capables de comprendre et de vérifier la sécurité de cette chaîne de dépendances. Aussi, la Linux Foundation a annoncé la création de l'Open Source Security Foundation (OpenSSF). Il s'agit d'une collaboration intersectorielle qui rassemble des leaders pour améliorer la sécurité des logiciels open source en créant une communauté plus large avec des initiatives ciblées et les meilleures pratiques.

L'OpenSSF rassemble les initiatives de sécurité open source les plus importantes de l'industrie et les individus et entreprises qui les soutiennent. La Core Infrastructure Initiative (CII) de la Linux Foundation, fondée en réponse au bogue Heartbleed de 2014, et l'Open Source Security Coalition, fondée par le GitHub Security Lab, ne sont que quelques-uns des projets qui seront réunis dans le cadre du nouvel OpenSSF. La gouvernance de la Fondation, la communauté technique et ses décisions seront transparentes, et toutes les spécifications et tous les projets développés seront indépendants du fournisseur. L'OpenSSF s'engage à collaborer et à travailler à la fois en amont et avec les communautés existantes pour faire progresser la sécurité open source pour tous.

L'OpenSSF a été créé sur le principe que les chercheurs en sécurité ont besoin d'un mécanisme pour leur permettre de traiter en collaboration les méthodes nécessaires pour sécuriser la chaîne d'approvisionnement de sécurité open source. Il reconnaît que les chercheurs en sécurité du monde entier au sein des organisations ont des intérêts et des préoccupations communs. OpenSSF facilite le dialogue soutenu et le travail de projet entre les entités privées, les fondations et les universités.

Les initiatives techniques initiales porteront sur:
  • Les divulgations de vulnérabilités : sur la page, il est expliqué que la vision est un écosystème de logiciels open source où le temps nécessaire pour corriger une vulnérabilité et déployer cette correction dans l'écosystème est mesuré en minutes, et non en mois. Il est question de créer un format et une API unifiés pour les rapports de vulnérabilité / la divulgation coordonnée et favoriser une large adoption
  • Les outils de sécurité : La mission déclarée est de fournir les meilleurs outils de sécurité pour les développeurs open source et de les rendre universellement accessibles. Le collectif voudrait créer un espace où les membres peuvent collaborer ensemble pour améliorer les outils de sécurité existants et en développer de nouveaux pour répondre aux besoins de la communauté open source plus large.
  • Identifier les menaces de sécurité pour les projets Open Source : ici il est question de permettre aux parties prenantes d'avoir une confiance éclairée dans la sécurité des projets Open Source. Le collectif voudrait identifier un ensemble de mesures clés et créer des outils (API, interface utilisateur Web) pour communiquer ces mesures aux parties prenantes, permettant à ces parties prenantes de mieux comprendre l'état de sécurité des composants open source individuels.
  • Les bonnes pratiques de sécurité : l'objectif est de fournir aux développeurs open source des recommandations de bonnes pratiques.
  • La sécurisation des projets critiques : l'objectif est d'effectuer des audits, des assurances, des équipes d'intervention, des améliorations et un travail tactique pratique.



« Nous croyons que l'open source est un bien public et dans chaque secteur, nous avons la responsabilité de nous unir pour améliorer et soutenir la sécurité des logiciels open source dont nous dépendons tous. Assurer la sécurité open source est l'une des choses les plus importantes que nous puissions faire et cela nous oblige tous, dans le monde entier, à participer à cet effort. L'OpenSSF fournira ce forum pour un effort véritablement collaboratif et intersectoriel », a commenté Jim Zemlin, Executive Director au sein de The Linux Foundation

Les membres fondateurs du conseil d'administration sont GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation et Red Hat, entre autres. Les autres membres fondateurs incluent ElevenPaths, GitLab, HackerOne, Intel, Okta, Purdue, SAFECode, StackHawk, Trail of bits, Uber et VMware.

La création officielle du groupe comprend la mise en place d'un comité directeur, d'un conseil consultatif technique et d'une supervision distincte pour chaque groupe de travail et projet. OpenSSF a l'intention d'héberger une variété d'initiatives techniques open source pour soutenir la sécurité des logiciels open source les plus critiques au monde, qui seront toutes réalisées en mode ouvert sur GitHub.

L'OpenSSF répond à un certain nombre de questions via une foire à questions :
  • L'OpenSSF identifiera-t-il et construira-t-il de nouvelles normes et technologies de sécurité open source ou va-t-il simplement se contenter de maintenir celles existantes ? Probablement un peu des deux, mais nous devons d'abord nous mettre d'accord sur les problèmes que nous abordons ensemble, puis décider de la meilleure façon de les résoudre en coopération en tant que fondation unique.
  • En quoi OpenSSF est-il différent de CII ? Que va-t-il advenir de CII ? Le CII a été financé en grande partie par des subventions, OpenSSF sera soutenu par les cotisations des membres de la Linux Foundation avec des contributions d'organisations ciblées pour soutenir des initiatives. Le CII prévoit de fournir des ressources et de l'expérience à l'OpenSSF et prévoit de travailler à travers son processus d'approbation de projet dirigé par l'OpenSSF TAC pour les projets souhaités. À long terme, le CII va passer à des travaux sous l'égide d'OpenSSF.
  • Que va-t-il advenir de l'Open Source Security Coalition (OSSC) ? Tous les membres de l'OSSC et leurs projets feront désormais partie de l'OpenSSF.
  • Pourquoi maintenant ? Pourquoi l'industrie a-t-elle besoin d'OpenSSF maintenant ? Alors que l'open source est devenu plus omniprésent, sa sécurité est devenue une considération clé pour la construction et la maintenance d'une infrastructure critique qui prend en charge les systèmes critiques dans toute notre société. Il est plus important que jamais de rassembler l'industrie dans un effort collaboratif et ciblé pour faire progresser l'état de la sécurité open source. L’infrastructure technologique mondiale en dépend.
  • Quelles sont les valeurs d'OpenSSF?
    • Bien public : Nous pensons que la sécurité de l'open source est un bien public et, en tant qu'industrie, nous avons l'obligation de la traiter pour le Commonwealth de la communauté.
    • Ouverture et transparence : Nous nous engageons à encourager toutes les parties prenantes intéressées à participer à la fondation et à ses groupes de travail. Les travaux de la fondation seront rendus publics.
    • Maintainers First : Nous abordons le travail de contribution à l'amélioration de la sécurité des logiciels open source avec un grand respect pour les mainteneurs et développeurs open source, dans le but de créer des ressources et des outils pour aider à faire évoluer les améliorations de la sécurité au profit de l'écosystème open source dans son ensemble. .
    • Diversité, inclusion et représentation : nous nous efforçons d'inviter et d'inclure activement des personnes d'horizons, de lieux, d'identités et de perspectives variés, et de promouvoir une culture de respect mutuel et d'inclusion comme condition de participation.
    • Agilité et livraison : nous travaillons pour fournir des résultats et des outils concrets et utiles pour aider à rendre l'open source plus sécurisé. Nous le faisons d'une manière qui nous permet d'apprendre de l'expérience et de l'expérimentation et d'améliorer nos résultats en conséquence.
    • Crédit là où le crédit est dû : nous nous engageons à une culture où les contributions des gens sont reconnues et reconnues équitablement.
    • Neutralité : nous ne privilégions aucun écosystème, fournisseur ou plateforme.
    • Empathie : nous reconnaissons et comprenons les défis, la perspective et les circonstances de chacun. Nous nous engageons dans une culture d'écoute et de prise en charge des opinions multiples.


Source : OpenSSF, Linux Foundation

Et vous ?

Que pensez-vous de cette initiative ?