Par Ashwin Ramaswami

Le mois dernier, nous venons de conclure le 2022 Open Source Summit North America (OSS NA) de la Linux Foundation, lorsque des développeurs, des technologues et des leaders communautaires de l’industrie, du milieu universitaire et du gouvernement se sont réunis à Austin, au Texas, du 21 au 24 juin pour parler de tous choses open source. Les participants et les intervenants ont souligné l’innovation open source et les efforts pour assurer un écosystème open source durable.

Que nous a appris le sommet sur l’état de la sécurité de l’OSS ? Plusieurs parties de la conférence ont abordé différents aspects de cette question – OpenSSF Day, Critical Software Summit, SupplyChainSecurityCon et le Global Security Vulnerability Summit. Dans l’ensemble, le sommet a mis davantage l’accent sur la sécurité open source en tant qu’effort communautaire avec diverses parties prenantes. Des approches plus ambitieuses et innovantes pour gérer le problème de sécurité open source – y compris la collaboration, les outils et la formation – ont également été introduites. Enfin, le sommet a souligné l’importance pour les utilisateurs de l’open source de redonner à la communauté et de contribuer en amont aux projets dont ils dépendent.

Explorons ces idées plus en détail !

Cliquez sur la liste en haut à droite de cette vidéo pour voir l’intégralité de la playlist OpenSSF Day (13 vidéos)

La sécurité open source en tant qu’effort communautaire

La sécurité open source n’est pas seulement un effort isolé des utilisateurs ou des responsables de logiciels open source. Comme l’OSS NA l’a montré, les enjeux de la sécurité open source en ont fait un effort communautaire, où une grande variété de parties prenantes diverses ont un intérêt et commencent à s’impliquer.

Comme Todd Moore (IBM) mentionné dans son discours, des incidents tels que log4shell ont fait de la sécurité open source une plus grande priorité pour les gouvernements – et il est important que les parties prenantes open source existantes, à la fois les utilisateurs et les mainteneurs, travaillent en tant que communauté pour transmettre un message cohérent au gouvernement pour articuler les besoins de notre communauté et comment nous répondons à ce défi. table ronde avec l’Atlantic Council’s Cyber ​​Statecraft Initiative et l’Open Source Security Foundation (OpenSSF) ont discuté du sommet organisé par OpenSSF à Washington, DC les 12 et 13 mai, où des représentants de l’industrie et du gouvernement se sont rencontrés pour développer le Plan de mobilisation de la sécurité des logiciels open sourceun plan de 150 millions de dollars pour mieux sécuriser l’écosystème open source.A table ronde a exploré comment les grandes entreprises travaillent ensemble pour améliorer la sécurité de la chaîne d’approvisionnement open source, en particulier grâce à la structure de gouvernance de l’OpenSSF.

De nouvelles approches pour aborder la sécurité open source

OSS NA a présenté plusieurs initiatives pour résoudre les problèmes fondamentaux de sécurité open source, dont beaucoup étaient particulièrement ambitieuses et innovantes.

Les OpenSSF Projet Alpha-Oméga a été annoncé pour traiter les vulnérabilités logicielles des projets OSS les plus critiques (alpha) et à longue traîne (oméga). Eric Brewer (Google) a donné un discours d’ouverture discuter du problème fondamental d’assurer la responsabilité dans la chaîne d’approvisionnement des logiciels open source. Une façon de résoudre ce problème est la curation : créer un référentiel de packages contrôlés et sécurisés. Les normes continuent d’être importantes, comme toujours : Art Manion (CERT/CC) discuté l’histoire et l’avenir du programme CVE, tout en Jennings Aske (New York-Presbyterian Hospital) et Melba Lopez (IBM) a discuté de l’importance d’une nomenclature logicielle (SBOM). L’importance des outils de sécurité a été soulignée, avec des discussions sur des outils tels que sigstore, l’automatisation des contrôles de sécurité via les outils Infrastructure as Code et les pipelines CI/CD. David Wheeler (Linux Foundation) a expliqué que la formation au développement de logiciels sécurisés est essentielle pour garantir la sécurité des logiciels open source. Des cours comme OpenSSF Cours sur les bases du développement logiciel sécurisé sont disponibles pour aider les développeurs à apprendre ce sujet.

Redonner à la communauté

Les participants au sommet ont reconnu que la sécurité open source est en fin de compte une question de communauté, de gouvernance et de durabilité. Les projets qui ne disposent pas des ressources ou de la structure de gouvernance adéquates peuvent ne pas être en mesure de garantir la sécurité de leurs projets ou d’accepter le financement adéquat pour le faire.

Steve Hendrick (Linux Foundation) et Matt Jarvis (Snyk) discuté la publication du rapport 2022 sur l’état de la sécurité open source de Snyk et de la Linux Foundation. Le rapport a noté que les logiciels open source sont souvent une rue à sens unique où les utilisateurs voient des avantages significatifs avec un coût ou un investissement minimal. Il est recommandé aux organisations de boucler la boucle et de redonner aux projets OSS qu’elles utilisent pour des projets open source plus importants afin de répondre aux attentes des utilisateurs.Aeva Black (Microsoft) discuté approches de gestion des risques communautaires par la rédaction et l’application d’un code de conduite, et comment ignorer la santé communautaire peut conduire à des résultats techniques parfois catastrophiques pour les projets OSS.Sean Goggins (CHAOSS) discuté la relation entre la santé communautaire et l’atténuation de la vulnérabilité dans les projets open source en utilisant des modèles de métriques des projets CHAOSS.Margaret Tucker et Justin Colannino (GitHub) discuté le rôle que les registres de paquets ont dans la sécurité open source, en commençant à formuler quelques principes qui équilibreraient la responsabilité de ces registres en matière de sécurité et de fiabilité avec la liberté et la créativité des mainteneurs de paquets. Naveen Srinivasan (Endor Labs) et Laurent Simon (Google) exploré l’OpenSSF Scorecard pour analyser plus facilement la sécurité des projets open source et améliorer de manière proactive leur sécurité.Amir Montazery (OSTIF) discuté les efforts du Fonds d’amélioration de la technologie Open Source pour aider les mainteneurs d’OSS à travailler avec des experts en sécurité pour améliorer la sécurité de leurs projets.

Conclusion

En résumé, les discussions et les conversations lors du Sommet OSS NA aident à brosser un tableau de la façon dont les principales parties prenantes de l’écosystème des logiciels open source – les communautés OSS, l’industrie, les universités et le gouvernement – envisagent de conceptualiser les problèmes d’ensemble et de diriger les efforts autour de la sécurité OSS. .

Mais ces initiatives et discussions ont encore beaucoup de place pour l’apport ! Que ce soit individuellement ou par l’intermédiaire de votre institution, envisagez d’ajouter votre voix à cette discussion alors que nous continuons à soutenir la communauté des logiciels open source. Rejoignez un Groupe de travail OpenSSFune autre initiative, ou contribuer en amont à des projets open source dont vous dépendez.

La poste Faits saillants de la sécurité OSS du sommet Open Source 2022 en Amérique du Nord est apparu en premier sur Fondation Linux.