Un plan pour renforcer la sécurité des applications open source

Sous pression après la découverte de plusieurs vulnérabilités, dont Log4Shell, dans du code source ouvert, les principaux groupes et éditeurs de logiciels open source ont créé un plan en 10 points pour assurer l’amélioration continues de la sécurité des logiciels open source.Illustration du concept de sécurité des données ou des centres de données

Le plan, publié jeudi dernier avec l’aval de la Maison Blanche, comprend des engagements de financement de 30 millions de dollars américains d’Amazon, Google, Intel, Microsoft et VMware. Il a été annoncé par des membres seniors de la Linux Foundation et de l’Open Source Security Foundation (OpenSSF).

Le plan « représente un effort collectif contre 10 cibles différentes où un travail significatif peut être effectué pour apporter une amélioration substantielle de l’état de la sécurité open source », a déclaré aux journalistes Brian Behlendorf, directeur général d’OpenSSF.

« Il faut le voir comme un premier jet », a-t-il ajouté, « avec des objectifs spécifiques pour résoudre ces problèmes clés. Nous continuerons de travailler avec les parties prenantes. Maintenant qu’il est rendu public, nous chercherons également de nouveaux participants pour poursuivre l’élaboration de ce plan. »

Le processus a officiellement débuté en janvier avec une réunion à la Maison Blanche entre des éditeurs de logiciels, des experts du gouvernement américain et des fondations de logiciels open source pour trouver des moyens d’empêcher les failles de sécurité et les vulnérabilités de se retrouver dans le code source ouvert, d’améliorer la découverte et la correction des vulnérabilités et de raccourcir le temps de réponse pour la distribution et la mise en œuvre des correctifs.

Les logiciels et composants open source sont de plus en plus utilisés non seulement dans les applications open source mais aussi dans les logiciels commerciaux. Cependant, de nombreux composants sont créés par des développeurs individuels travaillant sur des modules pendant leur temps libre. Souvent, ils n’ont pas le temps ou l’incitatif financier pour rechercher ou répondre aux signalements de vulnérabilités. En conséquence, certains bogues importants peuvent se cacher dans les logiciels pendant des années.

Les vulnérabilités de la bibliothèque de journalisation Log4j2 ne sont que le dernier exemple.

Le plan de mobilisation publié jeudi dernier est composé d’une série de 10 volets d’activités proposés pour atteindre les trois objectifs énoncés lors de la réunion de janvier.

Pour plus de détails, l’article original (en anglais) est disponible sur le site d’IT World Canada, une publication sœur de Direction informatique.

Lire aussi :

Les agences du Groupe des cinq prédisent une augmentation des attaques

Les tendances des rançongiciels

Microsoft élargit son offre de solutions de sécurité gérées

Traduction et adaptation française par Renaud Larue-Langlois

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.

Articles connexes

Un duo montréalais lance une plateforme gratuite de formation en cybersécurité.

Deux amis d'enfance, tous deux entrepreneurs basés à Montréal,...

Des pirates abusent d’OAuth pour automatiser des cyberattaques, selon Microsoft

Selon Microsoft, des acteurs malveillants utilisent à mauvais escient les applications basées sur OAuth comme outil d'automatisation d'authentification.

Les entreprises canadiennes de taille moyenne paient en moyenne 1,13 million de dollars aux gangs de rançongiciels

Le paiement moyen de rançongiciel effectué par les entreprises canadiennes de taille moyenne s'élevait cette année à un peu plus d'un million de dollars, selon une nouvelle enquête.

Adoption du projet de loi no 38 sur la cybersécurité et la transformation numérique de l’administration publique

Le projet de loi no 38, connu sous le nom de Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d'autres dispositions législatives, a été adopté plus tôt cette semaine par l'Assemblée nationale.

Un groupe canadien reçoit 2,2 millions de dollars pour la recherche sur la détection des menaces par l’IA pour les réseaux sans fil

Un groupe composé de chercheurs universitaires canadiens et d'Ericsson Canada vient d’obtenir un financement public dans le cadre de la National Cybersecurity Coalition pour des recherches avancées sur la lutte contre les cybermenaces.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.