Un sommet de la Maison Blanche axé sur la sécurité open source a souligné la nécessité d’une plus grande collaboration entre les géants de la technologie, les volontaires open source et le gouvernement fédéral américain.

Les représentants des trois circonscriptions se sont réunis virtuellement jeudi 13 janvier pour discuter des remèdes potentiels aux attaques proliférantes contre une chaîne d’approvisionnement open source dont dépendent des applications de toutes sortes.

Les entreprises les plus précieuses au monde – telles que Google et Meta – étaient représentées à l’événement aux côtés d’organisations à but non lucratif, telles que la Linux Foundation et Apache Software Foundation (ASF), qui aident des bénévoles non rémunérés à maintenir des écosystèmes open source tentaculaires.

« Problème d’échelle »

Au milieu des retombées continues du bogue historique « Log4Shell », la discussion s’est concentrée sur la manière de prévenir, de trouver et de corriger plus efficacement les vulnérabilités de sécurité, ainsi que de distribuer et d’appliquer les correctifs plus rapidement, a déclaré la Maison Blanche.

Les solutions envisagées, a-t-il poursuivi, comprenaient l’intégration de fonctionnalités de sécurité dans les outils de développement, la protection de la base de code avec la signature de code et des identités numériques plus fortes, et l’exploitation des nomenclatures logicielles pour donner aux organisations une plus grande visibilité de leur utilisation open source.

« L’expérience Log4J a montré aux organisations qu’elles n’avaient peut-être pas une compréhension complète des composants logiciels qui alimentent leur entreprise », a déclaré Tim Mackey, stratège principal en matière de sécurité au Synopsys Cybersecurity Research Center.

« C’est un problème qui peut être résolu, mais c’est aussi un problème d’échelle qui commence par la question de savoir quel logiciel alimente l’entreprise, d’où il vient et comment il est mis à jour.

« Après tout, vous ne pouvez pas corriger ce que vous ne savez pas que vous avez et sans un processus approprié pour examiner toutes les modifications logicielles, il est tout à fait possible qu’un nouveau logiciel utilise simplement un composant vulnérable que vous pensiez avoir complètement patché.

« Charges non financées »

L’ASF, a publié un prise de position avant le sommet qui a déclaré que les producteurs en amont n’étaient pas exclusivement responsables du renforcement de l’écosystème logiciel, bien qu’il ait noté que la vulnérabilité Apache Log4j aurait pu être évitée en « désactivant les fonctionnalités obsolètes et inutiles ».

Dans un communiqué de presse la Maison Blanche a reconnu l’omniprésence des technologies open source dans les applications modernes – « y compris les logiciels utilisés par la communauté de la sécurité nationale » – et ses « défis de sécurité uniques, en raison de son étendue d’utilisation et du nombre de bénévoles responsables de sa maintenance continue de la sécurité. ”

Dans son document de position, l’ASF a déclaré que « les entreprises qui intègrent l’open source dans leurs produits participent rarement à leur maintenance continue », et a exhorté le gouvernement fédéral à « éviter d’imposer des charges supplémentaires non financées aux quelques mainteneurs qui font déjà le travail ».

« Un bon début »

Le renforcement des cyberdéfenses du pays est la pierre angulaire du programme du président Biden depuis son entrée en fonction en janvier 2021 à la suite de l’attaque de la chaîne d’approvisionnement de SolarWinds, avec un décret signé en mai ouvrant la voie à une série de directives, d’initiatives et de refontes des politiques. .

Red Hat, une filiale d’IBM qui développe des solutions open source de niveau entreprise, applaudi « l’administration pour sa chaîne de sécurité complète », et a déclaré que son décret pourrait aider à « garantir que les fournisseurs de toutes les approches de l’offre de logiciels maintiennent une plus grande visibilité sur leurs logiciels, assument la responsabilité de son cycle de vie et rendent les données de sécurité accessibles au public » .

L’ASF, qui supervise la maintenance de plus de 350 projets Apache et de 237 millions de lignes de code, approuvé l’accent mis par la Maison Blanche sur la collaboration et a déclaré que le sommet était « un bon début qui peut aider à catalyser et diriger une réponse plus large pour répondre aux besoins de sécurité actuels pour les logiciels open source ».

Apple, Microsoft, IBM, VMWare, Oracle, Amazon, GitHub, l’Open Source Security Foundation, Akamai et Cloudflare étaient également présents au sommet aux côtés du directeur national de la cybersécurité Chris Inglis et de responsables de diverses agences fédérales.

La Maison Blanche a déclaré que tous les participants « poursuivraient les discussions pour soutenir ces initiatives dans les semaines à venir, qui sont ouvertes à tous les acteurs publics et privés intéressés ».