Discussion :

[Sandra Coret]

La Maison Blanche, la Fondation Linux, OpenSSF et 37 entreprises technologiques ont annoncé un plan de sécurité des logiciels Open Source en 10 points et un financement de 150 millions de dollars

Des représentants de la Maison Blanche, la Fondation Linux, OpenSSF et 37 entreprises technologiques du secteur privé ont annoncé un plan de mobilisation de la chaîne d'approvisionnement des logiciels et des Open Source en 10 points et un financement de 150 millions de dollars sur deux ans.

Lors d'une réunion au sommet, plusieurs organisations participantes se sont retrouvées pour promettre collectivement une première tranche de financement pour la mise en œuvre du plan. Ces entreprises sont Amazon, Ericsson, Google, Intel, Microsoft et VMWare, qui ont promis plus de 30 millions de dollars.

Cette initiative s'appuie sur les investissements existants que les membres de la communauté OpenSSF réalisent dans les logiciels libres. Un sondage informel auprès des parties prenantes indique qu'ils dépensent plus de 110 millions de dollars et emploient près d'une centaine d'équivalents temps plein qui ne se consacrent qu'à la sécurisation du paysage des logiciels open source. Ce plan s'ajoute à ces investissements.

Eric Brewer, vice-président de l'infrastructure chez Google Cloud et Google Fellow, a déclaré : "Nous sommes reconnaissants à la Fondation Linux et à l'OpenSSF d'avoir réuni la communauté pour discuter des défis de sécurité des logiciels open source auxquels nous sommes confrontés et de la manière dont nous pouvons travailler ensemble dans les secteurs public et privé pour les relever. Google s'est engagé à soutenir un grand nombre des efforts dont nous avons discuté, notamment par la création de notre nouvelle équipe de maintenance des logiciels libres, une équipe d'ingénieurs Google qui travaillera en étroite collaboration avec les mainteneurs en amont pour améliorer la sécurité des projets libres essentiels, et en apportant son soutien à la communauté par des mises à jour sur des projets clés tels que SLSA, Scorecards et Sigstore, qui est maintenant utilisé par le projet Kubernetes. Les risques de sécurité continueront de toucher toutes les sociétés de logiciels et tous les projets open source. Seul un engagement à l'échelle du secteur, impliquant une communauté mondiale de développeurs, de gouvernements et d'entreprises, permettra de réaliser de réels progrès. Google continuera à jouer son rôle pour avoir un impact."

Le plan convenu a trois objectifs clés, à savoir sécuriser la production open source, améliorer la découverte et la correction des vulnérabilités, et raccourcir le temps de réponse des correctifs.

"Aujourd'hui, nous avons eu l'occasion de partager les recommandations de notre IBM Policy Lab sur la manière dont la compréhension de la chaîne d'approvisionnement des logiciels est essentielle pour améliorer la sécurité", déclare Jamie Thomas, responsable de la sécurité des entreprises chez IBM. "Nous pensons que le fait d'offrir une plus grande visibilité dans la chaîne d'approvisionnement des logiciels grâce aux SBoM (Software Bill of Materials) et d'utiliser la communauté des logiciels libres comme une ressource précieuse pour encourager les développeurs passionnés à créer, à affiner leurs compétences et à contribuer au bien public peut contribuer à renforcer notre résilience. C'est formidable de voir le fort engagement de la communauté à travailler ensemble pour sécuriser les logiciels libres."

Ci-dessous se trouve un résumé des 10 points :

• Formation à la sécurité : fournir à tous une formation et une certification de base en matière de développement de logiciels sécurisés
  
• Évaluation des risques : établir un tableau de bord d'évaluation des risques public, indépendant des fournisseurs et basé sur des mesures objectives pour les 10 000 principaux composants OSS (ou plus).
  
• Signatures numériques : accélérer l'adoption des signatures numériques sur les versions de logiciels.
  
• Sécurité de la mémoire : éliminer les causes profondes de nombreuses vulnérabilités en remplaçant les langages non sécurisés en mémoire.
  
• Réponse aux incidents : établir l'équipe de réponse aux incidents de sécurité OpenSSF Open Source, des experts en sécurité qui peuvent intervenir pour aider les projets open source dans les moments critiques de réponse à une vulnérabilité.
  
• Meilleure analyse : accélérer la découverte de nouvelles vulnérabilités par les mainteneurs et les experts grâce à des outils de sécurité avancés et des conseils d'experts.
  
• Audits de code : réaliser une fois par an des examens de code par des tiers (et tout travail de remédiation nécessaire) de 200 composants OSS parmi les plus critiques.
  
• Partage des données : coordonner le partage des données à l'échelle de l'industrie pour améliorer la recherche qui aide à déterminer les composants OSS les plus critiques.
  
• SBOMs partout : améliorer l'outillage et la formation SBOM pour favoriser l'adoption.
  
• Amélioration des chaînes d'approvisionnement : améliorer les 10 systèmes de construction OSS les plus critiques, les gestionnaires de paquets et les systèmes de distribution avec de meilleurs outils de sécurité de la chaîne d'approvisionnement et les meilleures pratiques.

Source : OpenSSF

Et vous ?

Que pensez-vous de ce plan de mobilisation en 10 points pour les logiciels open source ?

Voir aussi :

Google, Microsoft et d'autres rejoignent la Linux Foundation pour lancer l'Open Source Security Foundation, afin d'améliorer la sécurité des logiciels open source

Les développeurs Open source consacreraient moins de 3 % de leur temps à la sécurité, selon une nouvelle enquête de l'Open Source Security Foundation (OpenSSF) et du Laboratory for Innovation Science

La Maison Blanche s'entretient avec les patrons de Google, Apple, Microsoft, Amazon pour discuter de la sécurité des projets open source, après la vulnérabilité Log4J

[Steinvikel]

Juste une question de compréhension :
Que désigne-t-on par composants OSS ici ?
>> open-source "sécurisé" ? c-a-d SOS en anglais ?

[Se7h22]

Juste une question de compréhension :
Que désigne-t-on par composants OSS ici ?
>> open-source "sécurisé" ? c-a-d SOS en anglais ?

Je ne suis pas sûr, mais je pense plutôt que c'est l'abréviation de Open Source Software.

[Steinvikel]

Alors ce serait le "OSS" que l'on retrouve dans "FLOSS" > Free/Libre Open-Source Software ? ...hmm ça parait cohérent dans cet article ! =)
malheureusement "OSS" désigne également "Open-Source Security", un composant OSS peut désigner à la fois un élément du projet, et le fait que cet élément soit Open-Source. ^^'
En fin de compte, je ne sais quoi en penser.

édit : le projet se nommant "OpenSSF" et non "OpenSS", je penche finalement plus vers le premier cas que tu suggères. =)