Après avoir participé au récent Sommet sur la sécurité des logiciels open source de la Maison Blanche, Google appelle désormais à un partenariat public-privé non seulement pour financer mais aussi pour doter en personnel des projets open source essentiels.
Dans un nouveau billet de blog, président des affaires mondiales et directeur juridique de Google et d’Alphabet, Kent Walker a présenté les plans du géant de la recherche pour mieux sécuriser l’écosystème des logiciels open source.
Pendant trop longtemps, les entreprises et les gouvernements se sont confortés dans l’hypothèse que les logiciels open source sont généralement sécurisés en raison de leur nature transparente. Alors que beaucoup pensent que plus d’yeux surveillants peuvent aider à détecter et à résoudre les problèmes de la communauté open source, certains projets n’ont en fait pas beaucoup d’yeux sur eux tandis que d’autres n’en ont que peu ou pas du tout.
À son crédit, Google s’est efforcé de sensibiliser à l’état de la sécurité open source et l’entreprise a investi des millions dans le développement de cadres et de nouveaux outils de protection. Cependant, la vulnérabilité Log4j et d’autres avant elle ont montré que davantage de travail est nécessaire dans l’écosystème pour développer de nouveaux modèles pour maintenir et sécuriser les logiciels open source.
Partenariat public-privé
Dans son article de blog, Kent propose de créer un nouveau partenariat public-privé pour identifier une liste de projets open source critiques afin d’aider à prioriser et allouer des ressources pour assurer leur sécurité.
Cependant, à long terme, de nouvelles façons d’identifier les logiciels et composants open source susceptibles de présenter un risque système doivent être mises en œuvre afin d’anticiper le niveau de sécurité requis et de fournir les ressources appropriées.
Dans le même temps, des bases de référence en matière de sécurité, de maintenance et de test doivent être établies dans les secteurs public et privé. Cela aidera à garantir que l’infrastructure nationale et d’autres systèmes importants peuvent continuer à s’appuyer sur des projets open source. Selon Kent, ces normes devraient également être élaborées dans le cadre d’un processus collaboratif « mettant l’accent sur des mises à jour fréquentes, des tests continus et une intégrité vérifiée ». Heureusement, la communauté des logiciels a déjà commencé ce travail avec des organisations comme OpenSFF travaillant dans l’ensemble de l’industrie pour créer ces normes.
Maintenant que Google a pesé sur la question de la sécurité open source, attendez-vous à ce que d’autres géants de la technologie comme Microsoft et Apple proposent leurs propres idées à ce sujet.
Nous avons également arrondi les meilleur logiciel open source et le meilleurs ordinateurs portables professionnels