En avril 2014, le monde entier découvrait Heartbleed, une faille dans OpenSSL. L’IT prenait alors conscience des faiblesses des projets Open Source et de la nécessité d’investir collectivement, sous la bannière de la Fondation Linux, dans l’amélioration et la sécurisation des logiciels Open Source. Ainsi est née la Core Infrastructure Initiative (CII) avec comme premiers participants Facebook, Google, Microsoft, mais aussi Cisco, IBM, VMware, Dell, Fujitsu, Intel, NetApp, Amazon et Rackspace. Dans l’urgence, cette structure s’est occupée de garantir la sécurité de plusieurs solutions et principalement d’OpenSSL. Et ce travail a été long et plein de surprises. Plusieurs failles de sécurité ont été découvertes dans la bibliothèque de chiffrement, y compris récemment.
Mais à force de travail, d’audit et de réparation, la CII vient d’annoncer la mise en œuvre d’un projet pour qualifier les services Open Source respectant les bonnes pratiques en matière de sécurité et de qualité. L’organisation vient donc de distribuer une première vague de « badges » à certaines solutions Open Source. Parmi elles, on retrouve : Curl, gitlab ce, le noyau Linux, OpenBloX, OpenSSL, Node.js et Zephyr.
« Il s’agit d’un programme gratuit qui vise à déterminer la sécurité, la qualité et la stabilité des logiciels Open Source », souligne la CII. Et d’ajouter : « l’application en ligne Best Practices indique aux développeurs s’ils suivent les meilleures pratiques. Dans ce cas, ils recevront un badge qu’ils peuvent afficher sur GitHub ou d’autres répertoires. L’application et les critères sont un projet Open Source et les développeurs peuvent y contribuer ».
Un programme nécessaire. « Les projets Open Source ont souvent mis en place de très bonnes pratiques de sécurité, mais ils ont besoin de les valider face aux bonnes pratiques de l’industrie et la communauté doit veiller à les améliorer », déclare Nicko van Sommeren, CTO de la Fondation Linux. Le programme est piloté par David Wheeler, chercheur en sécurité de l’IDA (Institute for Defense Analyses). D’autres projets peuvent candidater pour obtenir des badges.
A lire aussi :
La Fondation Linux lance CIP, un socle logiciel pour les smart grids
Avec FD.io, la Fondation Linux booste les IO dans le SDN et le SDS
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…