Pendant des années, les développeurs de logiciels libres et open source ont dit tous ceux qui écoutent que leurs projets ont besoin d’une meilleure aide financière et d’un meilleur encadrement. Maintenant, après un certain nombre d’incidents désastreux impliquant du code open source, le gouvernement fédéral et la Silicon Valley pourraient enfin écouter.
UNE Rencontre à la Maison Blanche jeudi, des dirigeants de certaines des plus grandes entreprises du secteur technologique ont rencontré des responsables de l’administration pour discuter de la nécessité d’une meilleure sécurité dans la communauté open source. La liste des participants comprenait de grands noms comme Google, Facebook, Microsoft, Amazon, Oracle et Apple, entre autres.
Contrairement aux logiciels propriétaires, ologiciel pen-source est gratuit, consultable publiquement et peut être utilisé ou modifié par n’importe qui. En raison de l’utilité des outils open source, les grandes entreprises les utilisent souvent pour le développement fins. Mais, malheureusement, les projets open source ont besoin d’être surveillés et financés pour rester sécurisés, et ils ne l’obtiennent pas toujours. Pendant des années, les développeurs open source se sont plaints que leurs logiciels avaient besoin d’un meilleur support de la part des Big Tech et d’autres acteurs institutionnels, un problème qui retient enfin l’attention du grand public.
Il n’est pas difficile de voir pourquoi la Maison Blanche a convoqué sa réunion en ce moment. Il y a à peine un mois ou deux, un bug pernicieux a été trouvé dans la bibliothèque de journalisation Apache open-source populaire log4j. Le programme troublé, qui est utilisé par à peu près tout le monde, a provoqué une panique généralisée dans l’industrie technologique, alors que les entreprises se sont précipitées pour corriger les systèmes et les produits qui dépendaient de la bibliothèque pour réussir. (Des responsables de l’Apache Software Foundation étaient également présents à la réunion de jeudi.)
Log4j n’est pas la seule débâcle open source à se produire ces derniers temps. Pas plus tard que la semaine dernière, le créateur de deux outils logiciels largement utilisés décidé inexplicablement désactivez-les via un certain nombre de mises à jour logicielles bizarres. Marak Squires, l’homme derrière les bibliothèques JavaScript populaires Faux et Couleurs, a étrangement bombardé les programmes et a réussi à supprimer des milliers d’autres projets logiciels qui dépendaient d’eux pour réussir.
En bref: il y a clairement place à l’amélioration et, heureusement, les participants à la récente réunion de la Maison Blanche sembler assez favorable à cela. Lors de la réunion, le conseiller à la sécurité nationale de la Maison Blanche, Jake Sullivan, a apparemment qualifié les logiciels open source de « problème clé de sécurité nationale ». De même, le président des affaires mondiales et directeur juridique de Google, Kent Walker a publié une déclaration sur le blog de l’entreprise jeudi, affirmant qu’il souhaitait voir un meilleur support pour la communauté open source.
« Pendant trop longtemps, la communauté des logiciels s’est confortée dans l’hypothèse selon laquelle les logiciels open source sont généralement sécurisés en raison de leur transparence et de l’hypothèse que » de nombreux yeux « regardaient pour détecter et résoudre les problèmes », a déclaré Walker. « Mais en fait, alors que certains projets ont beaucoup d’yeux sur eux, d’autres en ont peu ou pas du tout. »
Dans sa déclaration, Walker suggère en outre un soutien public et privé accru pour les projets open source, l’établissement de lignes de base de sécurité et de test, et le développement d’une rubrique pour identifier les projets « critiques » – le type qui est très utilisé (c’est-à-dire, probablement quelque chose comme log4j).
Ce que le gouvernement et les autres membres de Big Tech ont exactement en tête pour une meilleure sécurité open source n’est pas tout à fait clair à ce stade, mais le fait qu’ils en parlent semble être un bon signe.