La communauté open source a présenté un plan en 10 points pour améliorer la sécurité et la résilience de ses logiciels, réunissant plus de 90 cadres de 37 organisations, aux côtés de représentants du gouvernement américain, lors d’un sommet à Washington DC.
Organisé un an après le décret du président Biden sur l’amélioration de la cybersécurité aux États-Unis, l’Open Source Software Security Summit II a été organisé par la Linux Foundation et l’Open Source Software Security Foundation (OpenSSF).
Le plan décrit un programme sur deux ans de 150 millions de dollars (123 millions de livres sterling) pour proposer des solutions approuvées aux 10 problèmes majeurs identifiés dans le plan, ainsi que pour établir une voie ferme vers des améliorations plus immédiates et des fondements pour le développement futur.
Un groupe d’entreprises, Amazon, Ericsson, Google, Intel, Microsoft et VMware ont déjà promis plus de 30 millions de dollars du total nécessaire, avec plus de financement à identifier au fur et à mesure que le plan se développe.
“À l’occasion du premier anniversaire du décret du président Biden, nous sommes ici aujourd’hui pour répondre avec un plan qui est réalisable, car l’open source est un élément essentiel de notre sécurité nationale et il est fondamental que des milliards de dollars soient investis dans l’innovation logicielle aujourd’hui. », a déclaré Jim Zemlin, directeur exécutif de la Linux Foundation.
« Nous avons l’obligation commune d’améliorer notre résilience collective en matière de cybersécurité et d’améliorer la confiance dans les logiciels eux-mêmes. Ce plan représente notre voix unifiée et notre appel commun à l’action. La tâche la plus importante qui nous attend est le leadership.
Le directeur exécutif d’OpenSSF, Brian Behlendorf, a ajouté: «Ce que nous faisons ici ensemble, c’est faire converger un ensemble d’idées et de principes sur ce qui se passe là-bas et sur ce que nous pouvons faire pour y remédier. Le plan que nous avons élaboré représente les 10 drapeaux dans le sol comme base pour commencer. Nous sommes impatients d’obtenir d’autres commentaires et engagements qui nous feront passer du plan à l’action. »
Le plan en 10 points, qui peut être lu dans son intégralité sur le site Web d’OpenSSF, est le suivant :
- Offrir une formation et une certification de base en développement de logiciels sécurisés ;
- Établir un tableau de bord d’évaluation des risques public, indépendant des fournisseurs et basé sur des mesures objectives pour 10 000 composants logiciels open source (OSS) largement utilisés ;
- Accélérer l’adoption des signatures numériques sur les versions OSS ;
- Éliminer les causes profondes de nombreuses vulnérabilités en remplaçant les langages non sécurisés en mémoire ;
- Établir une équipe de réponse aux incidents soutenue par OpenSSF pour aider les projets open source à répondre aux divulgations de vulnérabilité ;
- Améliorer la capacité des mainteneurs et des experts à découvrir de nouvelles vulnérabilités dans les projets open source ;
- Établir un programme d’audits de code tiers et de correction pour jusqu’à 200 des composants OSS les plus critiques ;
- Coordonner le partage de données à l’échelle de l’industrie pour améliorer la façon dont la communauté s’y prend pour déterminer quels sont réellement les composants OSS les plus critiques ;
- Améliorer l’adoption de l’outillage et de la formation de la nomenclature logicielle (SBOM) ;
- Et enfin, pour améliorer les 10 systèmes de construction OSS les plus critiques, les gestionnaires de packages et les systèmes de distribution avec des outils et des pratiques de sécurité de la chaîne d’approvisionnement améliorés.
Commentant le plan, Mike Hanley, directeur de la sécurité (CSO) chez GitHub, a déclaré : « Sécuriser l’écosystème open source commence par donner aux développeurs et aux mainteneurs open source les moyens d’utiliser des outils et des meilleures pratiques qui sont essentiels pour sécuriser la chaîne d’approvisionnement logicielle.
« En tant que foyer de 83 millions de développeurs dans le monde, GitHub occupe une position unique et s’engage à faire progresser ces efforts, et nous avons poursuivi nos investissements pour aider les développeurs et les mainteneurs à obtenir de meilleurs résultats en matière de sécurité grâce à des initiatives telles que l’application 2FA sur GitHub.com et NPM, open source de la base de données consultative GitHub, habilitation financière pour les développeurs via les sponsors GitHub et formation gratuite à la sécurité via le laboratoire de sécurité GitHub.
« La sécurité de l’open source est essentielle à la sécurité de tous les logiciels. Le Sommet II a été une prochaine étape importante dans le rapprochement des secteurs privé et public et nous sommes impatients de poursuivre nos partenariats pour avoir un impact significatif sur l’avenir de la sécurité logicielle », a-t-il déclaré.
