L’Open Source Security Foundation (OpenSSF) a lancé un projet visant à améliorer la sécurité de l’écosystème des logiciels open source, soutenu par un investissement de 5 millions de dollars de Microsoft et Google.
L’annonce par la Fondation Linux de la Projet Alpha-Oméga suit une réunion avec des dirigeants du gouvernement et de l’industrie à la Maison Blanche en réponse à l’incident de sécurité Log4j.
L’objectif est d’améliorer la sécurité de la chaîne d’approvisionnement mondiale des logiciels open source en travaillant avec les responsables du projet pour découvrir de nouvelles vulnérabilités encore inconnues dans le code open source et les corriger.
« Il est essentiel que nous comprenions le risque de sécurité qui accompagne toutes nos dépendances logicielles », déclare Mark Russinovich, directeur de la technologie chez Microsoft Azure.
« Alpha-Omega fournira assurance et transparence pour les projets open source clés grâce à un engagement direct avec les responsables et en utilisant des outils de sécurité de pointe pour détecter et corriger les vulnérabilités critiques. »
Alpha à Oméga
La partie ‘Alpha’ du projet consiste à sélectionner les projets open source les plus critiques, tels qu’identifiés par un mélange d’opinions d’experts et de données, y compris l’OpenSSF Criticality Score et le Harvard’s Recensement une analyse.
L’équipe proposera ensuite une modélisation des menaces, des tests de sécurité automatisés et des audits de code source, et aidera à corriger les vulnérabilités découvertes.
Omega, quant à lui, utilisera des méthodes et des outils automatisés pour identifier les vulnérabilités de sécurité critiques dans au moins 10 000 projets open source largement déployés.
Cela signifie utiliser une analyse à l’échelle du cloud, un tri manuel par des analystes de sécurité et des rapports confidentiels aux parties prenantes du projet.
Une équipe dédiée d’ingénieurs logiciels travaillera pour ajuster en permanence le pipeline d’analyse afin de réduire les taux de faux positifs et d’identifier de nouvelles vulnérabilités.
Des fondations solides
« La longue traîne d’importants logiciels open source, l' »Omega » de cette entreprise, est toujours la partie la plus difficile – elle nécessitera non seulement un financement et une persévérance considérables, mais son échelle entraînera également une automatisation poussée pour le suivi et idéalement la correction des vulnérabilités », déclare Eric Brewer, vice-président de l’infrastructure et membre de Google.
« L’activation de l’automatisation sera l’une des plus grandes améliorations pour la sécurité open source. »
La vulnérabilité Log4j – et bien d’autres – a mis en évidence le fait que les logiciels open source manquent généralement de ressources.
PLONGÉES PROFONDES Attaques de la chaîne d’approvisionnement logicielle – tout ce que vous devez savoir
Et le succès du projet Alpha-Omega, explique Tim Mackey, stratège principal en matière de sécurité au Synopsys Cybersecurity Research Center, dépendra de l’augmentation du nombre de contributeurs actifs travaillant sur les projets.
« En regardant la liste des problèmes GitHub de n’importe quel open source populaire [project]vous pouvez voir des propositions et des rapports de bogues qui restent sans réponse, des actions qui sont symptomatiques d’une équipe de développement qui dispose d’une bande passante limitée pour investir dans l’évolution de son code », dit-il.
« Attirer de nouveaux contributeurs aux projets open source commence par le fait que les utilisateurs de ces projets reconnaissent la valeur qu’ils obtiennent de l’open source et investissent une partie de leur temps de développement pour assurer la durabilité de l’ensemble de l’open source qui alimente leur entreprise. »
