En avril 2014, le monde entier découvrait Heartbleed, une faille dans OpenSSL. L’IT prenait alors conscience des faiblesses des projets Open Source et de la nécessité d’investir collectivement, sous la bannière de la Fondation Linux, dans l’amélioration et la sécurisation des logiciels Open Source. Ainsi est née la Core Infrastructure Initiative (CII) avec comme premiers participants Facebook, Google, Microsoft, mais aussi Cisco, IBM, VMware, Dell, Fujitsu, Intel, NetApp, Amazon et Rackspace. Dans l’urgence, cette structure s’est occupée de garantir la sécurité de plusieurs solutions et principalement d’OpenSSL. Et ce travail a été long et plein de surprises. Plusieurs failles de sécurité ont été découvertes dans la bibliothèque de chiffrement, y compris récemment.
Mais à force de travail, d’audit et de réparation, la CII vient d’annoncer la mise en œuvre d’un projet pour qualifier les services Open Source respectant les bonnes pratiques en matière de sécurité et de qualité. L’organisation vient donc de distribuer une première vague de « badges » à certaines solutions Open Source. Parmi elles, on retrouve : Curl, gitlab ce, le noyau Linux, OpenBloX, OpenSSL, Node.js et Zephyr.
« Il s’agit d’un programme gratuit qui vise à déterminer la sécurité, la qualité et la stabilité des logiciels Open Source », souligne la CII. Et d’ajouter : « l’application en ligne Best Practices indique aux développeurs s’ils suivent les meilleures pratiques. Dans ce cas, ils recevront un badge qu’ils peuvent afficher sur GitHub ou d’autres répertoires. L’application et les critères sont un projet Open Source et les développeurs peuvent y contribuer ».
Un programme nécessaire. « Les projets Open Source ont souvent mis en place de très bonnes pratiques de sécurité, mais ils ont besoin de les valider face aux bonnes pratiques de l’industrie et la communauté doit veiller à les améliorer », déclare Nicko van Sommeren, CTO de la Fondation Linux. Le programme est piloté par David Wheeler, chercheur en sécurité de l’IDA (Institute for Defense Analyses). D’autres projets peuvent candidater pour obtenir des badges.
A lire aussi :
La Fondation Linux lance CIP, un socle logiciel pour les smart grids
Avec FD.io, la Fondation Linux booste les IO dans le SDN et le SDS
Mandiant a attribué un APT à Sandworm, considéré comme le principal groupe cybercriminel à la…
Les deux startup proposent un connecteur entre la platefome OpenCTI de Filigran et l’EDR de…
Des chercheurs ont mis des agents LLM à l'épreuve dans la détection et l'exploitation de…
Dans la lignée de Signal, iMessage intègre une couche de chiffrement post-quantique.
Douze fournisseurs sont classés dans le dernier Magic Quadrant des infrastructures LAN.
Commvault s'offre Appranix, éditeur d'une plateforme cloud de protection et de restauration des applications.