La sécurité open source traverse actuellement une période de changement accéléré, en grande partie grâce aux efforts de l’OpenSSF (Open Source Security Foundation) de la Linux Foundation.
Lors d’un événement d’une journée au sommet Open Source le 20 juin, les partisans, les dirigeants et les contributeurs d’OpenSSF ont discuté de l’état actuel de la sécurité open-source et ont détaillé, en détail, les multiples efforts en cours pour aider à améliorer l’état actuel des affaires. L’OpenSSF a été occupé en 2022 car il a intensifié un effort de mobilisation qui, selon lui, coûtera 150 millions de dollars pour aider à sécuriser les logiciels open source. L’effort de mobilisation n’est qu’un parmi le plus grand ensemble d’initiatives que l’OpenSSF a en cours.
« Nous sommes une sorte de cirque, je le dis avec amour et certains d’entre vous aiment aller au cirque », a déclaré Brian Behlendorf, directeur général d’OpenSSF lors d’une session lors de l’événement Open Source Summit. « Il se passe beaucoup de choses chez OpenSSF, beaucoup d’équipes différentes et c’est une partie de notre force. »
Les multiples anneaux du chapiteau de sécurité open source OpenSSF
Behlendorf a identifié trois trousseaux de clés comme principaux objectifs d’OpenSSF : sécuriser la production de logiciels open source, améliorer la détection et la correction des vulnérabilités, et raccourcir le temps nécessaire pour corriger et résoudre les problèmes.
Ces objectifs sont exécutés à travers les efforts menés par plusieurs groupes de travail à l’OpenSSF. Les groupes de travail actuellement actifs incluent les pratiques d’est, la divulgation des vulnérabilités, les outils de sécurité, l’identification des menaces de sécurité, l’intégrité de la chaîne d’approvisionnement et la sécurisation des référentiels de logiciels.
L’effort de mobilisation de 150 millions de dollars annoncé en mai est une initiative qui, selon Behlendorf, consiste à « prendre le cirque sur la route », dans le but d’aider à fournir un ensemble concret d’initiatives pour sécuriser les logiciels open source.
« Le grand thème tout au long du plan de mobilisation n’a pas été de savoir comment faire en sorte que les développeurs open source deviennent plus sérieux, mais comment pouvons-nous nous présenter avec de l’aide ? » dit Behlendorf. « Comment pouvons-nous ajouter à leurs processus existants avec de meilleurs outils, payer pour que les gens se présentent sur les projets et disent que nous sommes là pour aider d’une manière ou d’une autre. »
Projets clés
Au cours de la journée, plusieurs intervenants sont montés sur le podium pour détailler divers efforts associés à OpenSSF pour aider à améliorer les logiciels open source
L’un des aspects les plus élémentaires, mais le moins bien compris, de la sécurité dans son ensemble est de savoir comment divulguer correctement une faille de sécurité. Lors d’une session lors de la journée OpenSSF, Anne Bertucio, responsable de programme senior chez Google, décrit les meilleures pratiques pour les développeurs open source sur la façon de divulguer de manière responsable les vulnérabilités. Bertucio a désigné leGuide des vulnérabilités OSS d’OpenSSF comme un guide que les organisations peut utiliser pour vous aider dans le processus.
Navin Srinivasan, ingénieur en sécurité chez Endor Labs, a présenté le projet OpenSSF Scorecard , qui trouve ses racines dans des projets antérieurs à la création d’OpenSSF. Le projet de tableau de bord attribue aux projets open source une « note » basée sur le respect des meilleures pratiques en matière de sécurité.
Un projet connexe est le projet Allstar, qui a été initialement annoncé en août 2021. Jeff Mendoza, ingénieur en sécurité chez Google, a expliqué que même si le tableau de bord fournit un score, Allstar peut aider les utilisateurs à améliorer le score. Mendoza a déclaré qu’Allstar fonctionne comme une application GitHub qui vérifie en permanence vos meilleures pratiques de sécurité sur les référentiels de code et peut permettre aux utilisateurs de résoudre rapidement les problèmes.
Le projet Alpha Omega finance la sécurité Python et Eclipse
Un autre projet clé dans le cadre d’OpenSSF est l’effort de sécurité de la chaîne d’approvisionnement Alpha-Omega qui a débuté en février.
Lors de l’OpenSSF Day, l’OpenSSF a annoncé que via Alpha-Omega, un financement de 800 000 $ allait être fourni pour aider à sécuriser les initiatives technologiques de la Python Software Foundation et de la Eclipse Foundation.
Python est l’un des langages de programmation open source les plus populaires actuellement utilisés. Le nouveau financement sera utilisé pour fournir un soutien à une expertise en sécurité dédiée qui formalisera les meilleures pratiques dans les projets de la Python Software Foundation.
La Fondation Eclipse développe des outils de développement de logiciels, notamment l’environnement de développement intégré Eclipse (IDE). Le financement d’Eclipse sera utilisé pour aider l’organisation à mettre en œuvre les meilleures pratiques de la chaîne d’approvisionnement en matière de sécurité.
En outre, le projet Secure Open Source Rewards (SOS.dev) lancé par Google passera désormais sous les auspices d’OpenSSF. SOS.dev est une initiative conçue pour aider à récompenser les développeurs pour la mise en œuvre des meilleures pratiques de sécurité dans les projets de logiciels open source.
La sécurité est le prix de l’innovation open source
L’effort de mobilisation de 150 millions de dollars d’OpenSSF a été motivé en grande partie par l’émergence des vulnérabilités Open SourceLog4j qui ont été divulgués en décembre 2021. Cet incident a contribué à remettre l’accent sur les défis de la sécurité open source.
Jamie Thomas, directeur général de la stratégie et du développement chez IBM, a déclaré que l’incident Log4j a été un catalyseur pour les personnes impliquées dans l’industrie de l’open source afin qu’elles découvrent comment être plus proactives en matière de sécurité. Un défi pour beaucoup avec l’incident Log4 était qu’il incombait aux utilisateurs finaux dans certains cas de déterminer s’ils étaient vulnérables, puis de corriger. Elle a déclaré que les utilisateurs finaux n’auraient pas dû s’en soucier et que c’est à ceux qui créent et fournissent des logiciels de les aider à le prendre en charge.
« Il est de notre devoir d’assumer le fardeau de la sécurité et de nous assurer que le logiciel est conçu dans un souci de sécurité », a déclaré Thomas.
Parmi les nombreuses grandes organisations impactées par Log4j, figurait le géant financier JP Moran Chase. Rao Kakkakula, directeur de JPMorgan Chase, a déclaré que dans le passé, son organisation aurait pu avoir une réaction instinctive à l’incident de Log4J et a simplement décidé d’arrêter d’utiliser le logiciel open source et de créer quelque chose par elle-même. Ce n’est pas ce qui se passe maintenant en 2022.
Kakkakula a déclaré que les dirigeants de JPMorgan Chase demandent maintenant comment l’entreprise peut mieux aider la communauté open source à améliorer la sécurité.
« La tendance est en train d’être plus solidaire plutôt que de blâmer les gens », a déclaré Kakkakula.
Le besoin de JPMorgan d’aider à améliorer la sécurité open source n’est pas basé sur un objectif altruiste, mais plutôt sur un objectif très pratique. Kakkakula a expliqué qu’il y a plus de 53 000 développeurs chez JPMorgan Chase. Il a noté que la plupart des applications utilisent aujourd’hui des logiciels open source pour faire avancer l’innovation.
« Pour innover plus rapidement, l’open source est la clé à mon avis car je ne veux pas réinventer la roue », a déclaré Kakkakula. « Dans ce cas, la sécurité est la clé pour activer réellement la technologie afin que nous préservions la confiance des clients. »
La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir des connaissances sur les technologies d’entreprise transformatrices et d’effectuer des transactions. En savoir plus sur l’adhésion.
.
