Sécurité Open Source : CII qualifie plusieurs projets

Jacques Cheminat,

La Fondation Linux a distribué ses premières qualifications portant sur les pratiques de sécurité des projets Open Source. La première concrétisation de la Core Infrastructure Initiative, née du choc de la faille Heartbleed..

En avril 2014, le monde entier découvrait Heartbleed, une faille dans OpenSSL. L’IT prenait alors conscience des faiblesses des projets Open Source et de la nécessité d’investir collectivement, sous la bannière de la Fondation Linux, dans l’amélioration et la sécurisation des logiciels Open Source. Ainsi est née la Core Infrastructure Initiative (CII) avec comme premiers participants Facebook, Google, Microsoft, mais aussi Cisco, IBM, VMware, Dell, Fujitsu, Intel, NetApp, Amazon et Rackspace. Dans l’urgence, cette structure s’est occupée de garantir la sécurité de plusieurs solutions et principalement d’OpenSSL. Et ce travail a été long et plein de surprises. Plusieurs failles de sécurité ont été découvertes dans la bibliothèque de chiffrement, y compris récemment.

Mais à force de travail, d’audit et de réparation, la CII vient d’annoncer la mise en œuvre d’un projet pour qualifier les services Open Source respectant les bonnes pratiques en matière de sécurité et de qualité. L’organisation vient donc de distribuer une première vague de « badges » à certaines solutions Open Source. Parmi elles, on retrouve : Curl, gitlab ce, le noyau Linux, OpenBloX, OpenSSL, Node.js et Zephyr.

Devenir une garantie de respect des règles de sécurité

« Il s’agit d’un programme gratuit qui vise à déterminer la sécurité, la qualité et la stabilité des logiciels Open Source », souligne la CII. Et d’ajouter : « l’application en ligne Best Practices indique aux développeurs s’ils suivent les meilleures pratiques. Dans ce cas, ils recevront un badge qu’ils peuvent afficher sur GitHub ou d’autres répertoires. L’application et les critères sont un projet Open Source et les développeurs peuvent y contribuer ».

Un programme nécessaire. « Les projets Open Source ont souvent mis en place de très bonnes pratiques de sécurité, mais ils ont besoin de les valider face aux bonnes pratiques de l’industrie et la communauté doit veiller à les améliorer », déclare Nicko van Sommeren, CTO de la Fondation Linux. Le programme est piloté par David Wheeler, chercheur en sécurité de l’IDA (Institute for Defense Analyses). D’autres projets peuvent candidater pour obtenir des badges.

A lire aussi :

La Fondation Linux lance CIP, un socle logiciel pour les smart grids
Avec FD.io, la Fondation Linux booste les IO dans le SDN et le SDS

Crédit Photo : Olivier le Moal-Shutterstock