Dans le Plan de mobilisation de la sécurité des logiciels open source publié en mai dernier, le tout premier volet – sur les 10 recommandés – consiste à « offrir à tous une formation et une certification de base en matière de développement logiciel sécurisé ».

Comme l’indique le plan, il est rare de trouver un développeur de logiciels qui reçoive une formation formelle en écriture de logiciels en toute sécurité. Le plan préconise qu’une quantité modeste de formation – de 10 à idéalement 40 à 50 heures – pourrait faire une différence significative dans les contributions des développeurs à des logiciels plus sécurisés dès le début du cycle de vie du développement logiciel. La Fondation Linux propose désormais un cours gratuit, Développement de logiciels sécuriséssoit 15 heures de formation réparties en 3 modules (principes de sécurité, considérations de mise en œuvre et vérification logicielle).

Le plan propose de « réunir une petite équipe pour itérer et améliorer ces supports de formation afin qu’ils puissent être considérés comme la norme de l’industrie, puis de stimuler la demande pour ces cours et certifications grâce à des partenariats avec des établissements d’enseignement de toutes sortes, des académies et des accélérateurs de codage, et les principaux les employeurs à la fois former leurs propres employés et exiger une certification pour les candidats à un emploi.

Le plan comprend également le volet 5 pour « Mettre en place l’équipe de réponse aux incidents de sécurité open source OpenSSF, des experts en sécurité qui peuvent intervenir pour aider les projets open source pendant les moments critiques lors de la réponse à une vulnérabilité ». Il s’agit d’une petite équipe de développeurs de logiciels professionnels, contrôlés pour la sécurité et formés aux spécificités du langage et des frameworks utilisés par ce projet OSS. 30 à 40 experts seraient disponibles pour sortir en équipes de 2 à 3 pour toute crise donnée.

Christopher « CRob » Robinson est essentiel aux concepts sous-jacents et à la mise en œuvre de ces deux recommandations. Il est directeur des communications de sécurité chez Intel Product Assurance et siège également au comité consultatif technique OpenSSF. Au Open Source Summit North America, il s’est assis avec Téléviseur TechStrong héberger Alan Shimel pour parler de l’origine de son surnom et, plus important encore, de l’éducation à la sécurité des logiciels et à l’Open Source Équipe de réponse aux incidents de sécurité des produits (PSIRT) – volets 1 et 5 du Plan. Voici quelques plats à emporter:

Publicité

Je suis avec OpenSSF depuis plus de deux ans, presque depuis le début. Et actuellement, je suis le chef de groupe de travail pour le groupe de travail sur les meilleures pratiques des développeurs et le groupe de travail sur les divulgations de vulnérabilité. Je siège au comité consultatif technique. Nous aidons en quelque sorte à façonner, à orienter la stratégie de la Fondation. Je siège au Comité des politiques publiques et des affaires gouvernementales. Et je suis juste maintenant le propriétaire de deux tout nouveaux SIG, des groupes d’intérêts spéciaux, sous le groupe de travail. Je suis donc en charge du SIG Education et du SIG Open Source Cert. Nous allons créer un PSIRT pour l’open source. L’idée est d’essayer de trouver un ensemble d’experts de l’ensemble de l’industrie qui comprennent comment faire une réponse aux incidents et comprennent également comment réparer les choses au sein des communautés open source. . . Je pense qu’en fin de compte, ce sera une sorte de programme de mentorat pour les communautés en amont pour leur apprendre à réagir aux incidents. Nous les connaissons et les aidons à travailler avec des chercheurs et des journalistes en sécurité et nous nous assurons également qu’ils ont mis en place des outils et des processus leur permettant de réussir. Une grande partie de la conférence de cette semaine parle de la façon dont nous devons mettre davantage de formation, de certification et d’éducation entre les mains des développeurs. Nous avons créé un autre type d’équipe Tiger, et nous allons nous concentrer là-dessus. Et mon ami, le Dr David Wheeler, il a fait une grande annonce où nous avons un corps de matériel existant, la classe des principes de base du codage sécurisé, et il a pu transformer cela en SCORM. Désormais, toute personne disposant d’un système de gestion de l’apprentissage SCORM a la possibilité de tirer parti de cette formation logicielle sécurisée gratuite pour les développeurs sur ses systèmes internes de gestion de l’apprentissage. Nous avons beaucoup d’apprenants différents. Nous avons de tout nouveaux étudiants, nous avons des gens en milieu de carrière, des gens qui changent de carrière. Nous devons en quelque sorte servir tous ces différents électeurs.

Bien sûr, il avait beaucoup plus à dire. Vous pouvez regarder l’interview complète, y compris comment CRob a obtenu son surnom, et lire la transcription ci-dessous.

Rate this post
Publicité
Article précédentMeta annonce une perte d’exploitation de 2,8 milliards de dollars au deuxième trimestre pour sa division métavers
Article suivant11 vraies histoires de fantômes qui vous glaceront jusqu’aux os
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici