En avril 2014, le monde entier découvrait Heartbleed, une faille dans OpenSSL. L’IT prenait alors conscience des faiblesses des projets Open Source et de la nécessité d’investir collectivement, sous la bannière de la Fondation Linux, dans l’amélioration et la sécurisation des logiciels Open Source. Ainsi est née la Core Infrastructure Initiative (CII) avec comme premiers participants Facebook, Google, Microsoft, mais aussi Cisco, IBM, VMware, Dell, Fujitsu, Intel, NetApp, Amazon et Rackspace. Dans l’urgence, cette structure s’est occupée de garantir la sécurité de plusieurs solutions et principalement d’OpenSSL. Et ce travail a été long et plein de surprises. Plusieurs failles de sécurité ont été découvertes dans la bibliothèque de chiffrement, y compris récemment.
Mais à force de travail, d’audit et de réparation, la CII vient d’annoncer la mise en œuvre d’un projet pour qualifier les services Open Source respectant les bonnes pratiques en matière de sécurité et de qualité. L’organisation vient donc de distribuer une première vague de « badges » à certaines solutions Open Source. Parmi elles, on retrouve : Curl, gitlab ce, le noyau Linux, OpenBloX, OpenSSL, Node.js et Zephyr.
« Il s’agit d’un programme gratuit qui vise à déterminer la sécurité, la qualité et la stabilité des logiciels Open Source », souligne la CII. Et d’ajouter : « l’application en ligne Best Practices indique aux développeurs s’ils suivent les meilleures pratiques. Dans ce cas, ils recevront un badge qu’ils peuvent afficher sur GitHub ou d’autres répertoires. L’application et les critères sont un projet Open Source et les développeurs peuvent y contribuer ».
Un programme nécessaire. « Les projets Open Source ont souvent mis en place de très bonnes pratiques de sécurité, mais ils ont besoin de les valider face aux bonnes pratiques de l’industrie et la communauté doit veiller à les améliorer », déclare Nicko van Sommeren, CTO de la Fondation Linux. Le programme est piloté par David Wheeler, chercheur en sécurité de l’IDA (Institute for Defense Analyses). D’autres projets peuvent candidater pour obtenir des badges.
A lire aussi :
La Fondation Linux lance CIP, un socle logiciel pour les smart grids
Avec FD.io, la Fondation Linux booste les IO dans le SDN et le SDS
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…