Supporté par La Fondation Linux, les Open Source Security Foundation (OpenSSF) vise à créer un forum intersectoriel pour un effort collaboratif visant à améliorer la sécurité des logiciels open source. La liste des membres initiaux comprend Google, Microsoft, GitHub, IBM, Red Hat, etc.
Alors que l’open source est devenu plus omniprésent, sa sécurité est devenue une considération clé pour la construction et la maintenance d’une infrastructure critique qui prend en charge les systèmes critiques dans toute notre société. Il est plus important que jamais de rassembler l’industrie dans un effort collaboratif et ciblé pour faire progresser l’état de la sécurité open source. L’infrastructure technologique mondiale en dépend.
Microsoft CTO pour Azure Mark Russinovich a expliqué clairement pourquoi la sécurité open source doit être un effort de la communauté:
Les logiciels open source sont intrinsèquement axés sur la communauté et, à ce titre, il n’y a pas d’autorité centrale responsable de la qualité et de la maintenance. […] Les logiciels open source sont également vulnérables aux attaques contre la nature même de la communauté, telles que les attaquants devenant les mainteneurs de projets et introduisant des logiciels malveillants. Compte tenu de la complexité et de la nature communautaire des logiciels open source, la création d’une meilleure sécurité doit également être un processus mené par la communauté.
L’OpenSSF rassemblera diverses initiatives de sécurité open source en commençant par le Initiative d’infrastructure de base (CII) et GitHub Coalition pour la sécurité open source. De plus, cela créera plusieurs groupes de travail pour répondre aux principaux problèmes de sécurité. Celles-ci incluent la divulgation de vulnérabilité, dans le but d’accélérer le temps nécessaire pour corriger une vulnérabilité et déployer le correctif; des outils de sécurité, dans le but d’améliorer les outils de sécurité existants et d’en développer de nouveaux; l’identification des menaces de sécurité, en se concentrant sur la création de mesures clés pour mieux évaluer la façon dont chaque composant d’un projet open source se comporte en matière de sécurité; et les meilleures pratiques en matière de sécurité.
De plus, l’OpenSSF visera à aider les projets critiques pour obtenir le soutien dont ils ont besoin pour garantir leur sécurité.
Qu’il s’agisse de l’aide dédiée d’experts spécialisés ou simplement d’accorder de l’argent ou des crédits cloud, nous reconnaissons qu’il n’y a pas deux projets identiques et que le soutien peut prendre plusieurs formes. Nous avons l’intention de travailler avec les responsables en amont pour comprendre l’aide et le support dont ils ont besoin, puis de développer des processus évolutifs pour rendre cette aide disponible.
Entre autres, Google et Microsoft ont annoncé leur participation à l’OpenSSF avec un accent particulier sur un certain nombre de domaines, y compris les schémas partagés et les métadonnées pour mieux appliquer les meilleures pratiques de sécurité; gestion des dépendances et évaluation des risques pour cartographier les vulnérabilités à des versions de code spécifiques; des outils de vérification de build, comme le sien Tekton; et en utilisant identité du développeur d’associer des changements à leurs auteurs.
En plus de rejoindre l’OpenSSF, GitHub a confirmé son engagement en faveur de la sécurité open source et a déclaré qu’il continuerait d’investir et de créer de nouvelles fonctionnalités de sécurité gratuites pour les référentiels publics.
.
