Suite à un sommet sur la sécurité open source hébergé à la Maison Blanche jeudi, Google a appelé à une implication accrue du gouvernement dans l’identification et la sécurisation des projets logiciels open source critiques.
Dans un article de blog publié peu après le sommet, Kent Walker, président des affaires mondiales et directeur juridique de Google et Alphabet, a déclaré qu’une collaboration entre le gouvernement et le secteur privé était nécessaire pour le financement et la gestion open source.
« Nous avons besoin d’un partenariat public-privé pour identifier une liste de projets open source critiques – avec une criticité déterminée en fonction de l’influence et de l’importance d’un projet – pour aider à prioriser et allouer des ressources pour les évaluations et améliorations de sécurité les plus essentielles », a écrit Walker.
Le billet de blog a également appelé à une augmentation des investissements publics et privés pour assurer la sécurité de l’écosystème open source, en particulier lorsque le logiciel est utilisé dans des projets d’infrastructure. Pour la plupart, le financement et l’examen de ces projets sont assurés par le secteur privé.
La Maison Blanche n’avait pas répondu à une demande de commentaire au moment de la publication.
« Le code logiciel open source est accessible au public, gratuit pour quiconque peut l’utiliser, le modifier ou l’inspecter… C’est pourquoi de nombreux aspects des infrastructures critiques et des systèmes de sécurité nationale l’intègrent », a écrit Walker. « Mais il n’y a pas d’allocation officielle de ressources et peu d’exigences ou de normes formelles pour maintenir la sécurité de ce code critique. En fait, la plupart du travail pour maintenir et améliorer la sécurité de l’open source, y compris la correction des vulnérabilités connues, est effectué sur une base ad hoc et bénévole.
Le manque de financement et de ressources pour le développement open-source a longtemps été soulevé comme un problème de sécurité et est réapparu comme un problème clé après la découverte d’un bogue sérieux dans la bibliothèque Java Log4j, qui est rapidement devenue la plus grande vulnérabilité de cybersécurité ces dernières années. La bibliothèque Log4j a également été développée et maintenue en grande partie par du travail non rémunéré.
Lorsque des projets open source reçoivent un financement, il provient généralement de sources privées telles que des dons individuels ou le parrainage d’entreprises technologiques. Google a récemment contribué 1 million de dollars au Open source sécurisé (SOS) programme de récompenses, un programme pilote géré par la Linux Foundation pour récompenser financièrement les développeurs travaillant à améliorer la sécurité des projets open source.