IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Communiqués de presse

    Femme Profil pro
    Rédacteur technique
    Inscrit en
    mai 2018
    Messages
    1 429
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 31
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : mai 2018
    Messages : 1 429
    Points : 47 682
    Points
    47 682
    Par défaut Le plan de sécurité des logiciels Open Source vise à assurer le développement et l'application de correctifs
    La Maison Blanche, la Fondation Linux, OpenSSF et 37 entreprises technologiques ont annoncé un plan de sécurité des logiciels Open Source en 10 points et un financement de 150 millions de dollars

    Des représentants de la Maison Blanche, la Fondation Linux, OpenSSF et 37 entreprises technologiques du secteur privé ont annoncé un plan de mobilisation de la chaîne d'approvisionnement des logiciels et des Open Source en 10 points et un financement de 150 millions de dollars sur deux ans.

    Lors d'une réunion au sommet, plusieurs organisations participantes se sont retrouvées pour promettre collectivement une première tranche de financement pour la mise en œuvre du plan. Ces entreprises sont Amazon, Ericsson, Google, Intel, Microsoft et VMWare, qui ont promis plus de 30 millions de dollars.

    Cette initiative s'appuie sur les investissements existants que les membres de la communauté OpenSSF réalisent dans les logiciels libres. Un sondage informel auprès des parties prenantes indique qu'ils dépensent plus de 110 millions de dollars et emploient près d'une centaine d'équivalents temps plein qui ne se consacrent qu'à la sécurisation du paysage des logiciels open source. Ce plan s'ajoute à ces investissements.

    Eric Brewer, vice-président de l'infrastructure chez Google Cloud et Google Fellow, a déclaré : "Nous sommes reconnaissants à la Fondation Linux et à l'OpenSSF d'avoir réuni la communauté pour discuter des défis de sécurité des logiciels open source auxquels nous sommes confrontés et de la manière dont nous pouvons travailler ensemble dans les secteurs public et privé pour les relever. Google s'est engagé à soutenir un grand nombre des efforts dont nous avons discuté, notamment par la création de notre nouvelle équipe de maintenance des logiciels libres, une équipe d'ingénieurs Google qui travaillera en étroite collaboration avec les mainteneurs en amont pour améliorer la sécurité des projets libres essentiels, et en apportant son soutien à la communauté par des mises à jour sur des projets clés tels que SLSA, Scorecards et Sigstore, qui est maintenant utilisé par le projet Kubernetes. Les risques de sécurité continueront de toucher toutes les sociétés de logiciels et tous les projets open source. Seul un engagement à l'échelle du secteur, impliquant une communauté mondiale de développeurs, de gouvernements et d'entreprises, permettra de réaliser de réels progrès. Google continuera à jouer son rôle pour avoir un impact."

    Le plan convenu a trois objectifs clés, à savoir sécuriser la production open source, améliorer la découverte et la correction des vulnérabilités, et raccourcir le temps de réponse des correctifs.

    "Aujourd'hui, nous avons eu l'occasion de partager les recommandations de notre IBM Policy Lab sur la manière dont la compréhension de la chaîne d'approvisionnement des logiciels est essentielle pour améliorer la sécurité", déclare Jamie Thomas, responsable de la sécurité des entreprises chez IBM. "Nous pensons que le fait d'offrir une plus grande visibilité dans la chaîne d'approvisionnement des logiciels grâce aux SBoM (Software Bill of Materials) et d'utiliser la communauté des logiciels libres comme une ressource précieuse pour encourager les développeurs passionnés à créer, à affiner leurs compétences et à contribuer au bien public peut contribuer à renforcer notre résilience. C'est formidable de voir le fort engagement de la communauté à travailler ensemble pour sécuriser les logiciels libres."

    Nom : openssf_snackable.jpg
Affichages : 1152
Taille : 1 003,8 Ko

    Ci-dessous se trouve un résumé des 10 points :

    • Formation à la sécurité : fournir à tous une formation et une certification de base en matière de développement de logiciels sécurisés
    • Évaluation des risques : établir un tableau de bord d'évaluation des risques public, indépendant des fournisseurs et basé sur des mesures objectives pour les 10 000 principaux composants OSS (ou plus).
    • Signatures numériques : accélérer l'adoption des signatures numériques sur les versions de logiciels.
    • Sécurité de la mémoire : éliminer les causes profondes de nombreuses vulnérabilités en remplaçant les langages non sécurisés en mémoire.
    • Réponse aux incidents : établir l'équipe de réponse aux incidents de sécurité OpenSSF Open Source, des experts en sécurité qui peuvent intervenir pour aider les projets open source dans les moments critiques de réponse à une vulnérabilité.
    • Meilleure analyse : accélérer la découverte de nouvelles vulnérabilités par les mainteneurs et les experts grâce à des outils de sécurité avancés et des conseils d'experts.
    • Audits de code : réaliser une fois par an des examens de code par des tiers (et tout travail de remédiation nécessaire) de 200 composants OSS parmi les plus critiques.
    • Partage des données : coordonner le partage des données à l'échelle de l'industrie pour améliorer la recherche qui aide à déterminer les composants OSS les plus critiques.
    • SBOMs partout : améliorer l'outillage et la formation SBOM pour favoriser l'adoption.
    • Amélioration des chaînes d'approvisionnement : améliorer les 10 systèmes de construction OSS les plus critiques, les gestionnaires de paquets et les systèmes de distribution avec de meilleurs outils de sécurité de la chaîne d'approvisionnement et les meilleures pratiques.


    Source : OpenSSF

    Et vous ?

    Que pensez-vous de ce plan de mobilisation en 10 points pour les logiciels open source ?

    Voir aussi :

    Google, Microsoft et d'autres rejoignent la Linux Foundation pour lancer l'Open Source Security Foundation, afin d'améliorer la sécurité des logiciels open source

    Les développeurs Open source consacreraient moins de 3 % de leur temps à la sécurité, selon une nouvelle enquête de l'Open Source Security Foundation (OpenSSF) et du Laboratory for Innovation Science

    La Maison Blanche s'entretient avec les patrons de Google, Apple, Microsoft, Amazon pour discuter de la sécurité des projets open source, après la vulnérabilité Log4J
    Publication de communiqués de presse en informatique. Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Membre expert

    Profil pro
    activité : oui
    Inscrit en
    janvier 2014
    Messages
    1 207
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : activité : oui

    Informations forums :
    Inscription : janvier 2014
    Messages : 1 207
    Points : 3 216
    Points
    3 216
    Par défaut
    Juste une question de compréhension :
    Que désigne-t-on par composants OSS ici ?
    >> open-source "sécurisé" ? c-a-d SOS en anglais ?
    Pensez à utiliser les pouces d’appréciation, pour participer à la visibilité de l'apport d'un propos, ou l'intérêt que vous y prêtez... qu'il soit positif ou négatif.

  3. #3
    Membre averti Avatar de Se7h22
    Homme Profil pro
    Développeur Web
    Inscrit en
    août 2010
    Messages
    153
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : août 2010
    Messages : 153
    Points : 448
    Points
    448
    Par défaut
    Citation Envoyé par Steinvikel Voir le message
    Juste une question de compréhension :
    Que désigne-t-on par composants OSS ici ?
    >> open-source "sécurisé" ? c-a-d SOS en anglais ?
    Je ne suis pas sûr, mais je pense plutôt que c'est l'abréviation de Open Source Software.

  4. #4
    Membre expert

    Profil pro
    activité : oui
    Inscrit en
    janvier 2014
    Messages
    1 207
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : activité : oui

    Informations forums :
    Inscription : janvier 2014
    Messages : 1 207
    Points : 3 216
    Points
    3 216
    Par défaut
    Alors ce serait le "OSS" que l'on retrouve dans "FLOSS" > Free/Libre Open-Source Software ? ...hmm ça parait cohérent dans cet article ! =)
    malheureusement "OSS" désigne également "Open-Source Security", un composant OSS peut désigner à la fois un élément du projet, et le fait que cet élément soit Open-Source. ^^'
    En fin de compte, je ne sais quoi en penser.

    édit : le projet se nommant "OpenSSF" et non "OpenSS", je penche finalement plus vers le premier cas que tu suggères. =)
    Pensez à utiliser les pouces d’appréciation, pour participer à la visibilité de l'apport d'un propos, ou l'intérêt que vous y prêtez... qu'il soit positif ou négatif.

Discussions similaires

  1. Réponses: 0
    Dernier message: 18/11/2020, 16h13
  2. Cartographie des Open source BI par Niveau de maturité
    Par GarikoBI dans le forum Débats
    Réponses: 0
    Dernier message: 05/02/2014, 09h43
  3. Réponses: 7
    Dernier message: 18/04/2013, 15h41
  4. Réponses: 19
    Dernier message: 20/12/2006, 10h15

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo