La cybersécurité reste un sujet brûlant. De plus en plus d’organisations sont touchées par des attaques de ransomwares, les vulnérabilités critiques des logiciels ouverts font l’actualité et nous voyons des industries et des gouvernements se réunir pour discuter d’initiatives visant à améliorer la sécurité des logiciels.
Le gouvernement américain a travaillé avec l’industrie technologique et des organisations open source telles que la Linux Foundation et l’Open Source Security Foundation pour proposer un certain nombre d’initiatives au cours des deux dernières années.
Le décret exécutif de la Maison Blanche sur l’amélioration de la cybersécurité de la nation a sans aucun doute lancé des initiatives ultérieures et défini des exigences pour que les agences gouvernementales prennent des mesures en matière de sécurité des logiciels et, en particulier, de sécurité open source. Une importante réunion de la Maison Blanche avec des leaders de l’industrie technologique a produit des groupes de travail actifs, et seulement quelques semaines plus tard, ils ont publié le plan de mobilisation de la sécurité des logiciels open source. Ce plan comprenait 10 flux de travail et de budget conçus pour traiter les domaines de sécurité hautement prioritaires dans les logiciels open source, de la formation et des signatures numériques, aux révisions de code pour les principaux projets open source et la publication d’une nomenclature logicielle (SBOM).
La loi aborde directement les trois principaux domaines d’intérêt pour améliorer la sécurité open source : la détection et la divulgation des vulnérabilités, les SBOM et les OSPO.
Une initiative gouvernementale récente concernant la sécurité open source est la Securing Open Source Software Act, une législation bipartite des sénateurs américains Gary Peters, un démocrate du Michigan, et Rob Portman, un républicain de l’Ohio. Les sénateurs Peters et Portman sont respectivement président et membre de rang du Comité sénatorial de la sécurité intérieure et des affaires gouvernementales. Ils étaient aux audiences du Sénat Log4j et ont ensuite présenté cette législation pour améliorer la sécurité open source et les meilleures pratiques au sein du gouvernement en établissant les fonctions du directeur de la Cybersecurity and Infrastructure Security Agency (CISA).
Il s’agit d’un tournant dans la législation américaine, car, pour la première fois, elle est spécifique à la sécurité des logiciels open source. La législation reconnaît l’importance des logiciels open source et reconnaît qu ‘«un écosystème de logiciels open source sécurisé, sain, dynamique et résilient est crucial pour assurer la sécurité nationale et la vitalité économique des États-Unis». Enfin, il stipule que le gouvernement fédéral devrait jouer un rôle de soutien pour assurer la sécurité à long terme des logiciels open source.