L’Open Source Security Foundation : mieux vaut tard que jamais
Il a plusieurs fois été mis sur la table la difficulté de pouvoir travailler de sorte à optimiser la recherche de bug dans le domaine de l’Open Source.
L’idée de création d’une Open Source Security Foundation est la plus attendu de tous car cela permettra d’organiser au mieux le travail de recherche de bug sur les logiciels Open Source.
Cet article va aussi vous intéresser : Open Source : ces failles de sécurité qui passent inaperçues au détriment de la communauté
L’arrivée de l’initiative de la Fondation pour la sécurité de l’Open Source mets au cœur de tous les projets la cybersécurité. Si le projet a été établi depuis longtemps, on a du mal à comprendre pour quelle raison il a fallu autant de temps pour le réaliser. Malheureusement, cette durée de la tendance a facilité le fait que les attaquants puissent exploiter les bugs dans les applications Open Source, dans OpenSSL, Apache Struts et plusieurs autres projets du même genre, dont la sécurité a été négligée.
D’où le regret que l’initiative de la création de la Fondation ait pris autant de temps. L’heure est de combiner les efforts pour protéger le logiciel libre. Et cela relève de la responsabilité de chaque entreprise.
Si l’initiative prend vie en 2020, il faudrait alors l’encourager. La construction fragmentée de l’Open Source a beaucoup plus crée sa vulnérabilité. Selon qui Kim Lewandowski, chef de produit sur Google, par ailleurs un membre du conseil d’administration de l’OpenSSF : « nous dépendons tous de l’open source, et il n’y a aucune raison que chacun essaye de résoudre ce problème individuellement ou selon des modalités en silo ». S’il est clair que sa vision est totalement juste, l’on se pose la question de savoir pourquoi avoir autant attendu.
On le rappelle, le principal problème de l’Open Source c’est sa sécurité qui n’est pas limitée à une seule entreprise. Par exemple, si une banque utilise un logiciel Open Source, il est clair qu’elle est en droit de demander que ce logiciel soit sécurisé. Cependant, il est clair que la sécurisation coûtera le paiement d’une certaine somme. Ce qui est totalement contraire aux principes même de l’Open Source, payer pour utiliser une application. Le problème se pose pour presque toutes les entreprises et compris le géant américain Google qui le même contribue généralement la production de logiciel Open Source et les utilisent beaucoup. « Google ne va pas réécrire tous les logiciels open source disponibles aujourd’hui sur Internet, et que nous et nos clients utilisons », explique l’agent de Google, Kim Lewandowski.
Même si Google se donnait les moyens, il ne pourra pas véritablement atteindre l’objectif de ce genre en cas l’univers de l’Open Source est très vaste et continue malgré tout de suite tendres encore plus. Au mieux, il pourra faire son mieux pour corriger la vulnérabilité de OpenSSL ou Apache Struts. Bref, une seule entreprise, peu importe sa force ne peux pas résoudre ce problème seul. Trop de diversité, trop de besoins différents, trop de projets différents. Ce qui rend la résolution d’un problème assez complexe et même avec les moyens financiers disponibles, cela reste quand même une gageure. « Il s’est trouvé des cas où certaines personnes chargées de la maintenance d’un projet refusaient soit d’être payées, soit simplement de s’impliquer dans des modifications dont nous avions besoin ».
Pour les outils de sécurité plusieurs projets du secteur de l’Open Source ont besoin d’être épaulé. Cet aspect censé être prise en charge par la Fondation pour la sécurité de l’Open Source, Histoire d’aider des fondations qui sont déjà en charge, De ce genre de contrôle tel que la Cloud Native Computing Foundation (CNCF) ou d’autres organisations. « Certains audits sont excellents et ont permis de découvrir beaucoup de choses, mais si l’auditeur ne va pas au bout de l’audit, les projets peuvent se retrouver bloqués avec une montagne de corrections en suspens », note Kim Lewandowski. Elle ajoute par ailleurs qu’il arrive parfois que « les gens se contentent aussi de corriger des bogues, juste pour réussir l’audit ou en quête de solution rapide, mais sans résoudre le problème de sécurité sous-jacent ».
Le véritable problème actuellement et de pouvoir rassembler toute une communauté autour d’un but commun. L’identification et la résolution des problèmes de sécurité. Comme l’explique le chef de produit de Google : « l’OpenSSF envisageait actuellement différentes modalités pour inciter les contributeurs à résoudre les vulnérabilités de sécurité, même s’il est probable que cela ne sera pas forcément plus simple. Par exemple, certaines entreprises sont prêtes à apporter l’expertise de leurs ingénieurs pour aider à corriger les bogues, ce qui est une bonne chose. Mais l’OpenSSF peut-elle les tenir responsables de ces modifications ? Par exemple, si un certain nombre d’entreprises, membres de l’OpenSSF, engagent chacune cinq ingénieurs, comment faire preuve de responsabilité pour que tous ces ingénieurs fassent exactement ce que nous attendons qu’ils fassent au sein de la Fondation ? Ce sont des problèmes difficiles, et nous avons besoin d’une aide supplémentaire pour cela ».
Accédez maintenant à un nombre illimité de mot de passe :