Jamie Thomas est le directeur général, Stratégie et développement des systèmes chez IBM et est également le OpenSSF Président du conseil. Elle s’est assise avec Alan Shimel de Téléviseur TechStrong durant Journée OpenSSF à Austin pour parler d’OpenSSF et de la manière dont la communauté open source se mobilise pour accroître la résilience des logiciels open source.
Vous pouvez regarder l’interview complète ou lire la transcription ci-dessous. Mais, puisque nous sommes tous occupés, j’ai rassemblé certains des points clés que Jamie a tirés de l’interview :
OpenSSF se concentre sur une posture proactive. Comment prévenir ce genre d’événements ? Et donc pour ce faire, nous pensons qu’il y a un certain nombre de choses que nous devons faire :
D’abord et avant tout, il y a l’éducation, bien sûr, en termes de formation de base à la sécurité pour les développeurs.
Un autre locataire clé est de savoir comment mettre l’automatisation sous stéroïdes ? Alors, l’automatisation et les meilleures pratiques qui se reflètent dans cette automatisation que les projets open source peuvent consommer ? Comment pouvez-vous transmettre cela aux projets les plus critiques, puis fournir un soutien aux projets à long terme
Il s’agit également de travailler, franchement, avec d’autres consortiums industriels ainsi qu’avec le gouvernement. En particulier, nous avons travaillé avec le gouvernement américain dans OpenSSF pour définir quelles sont les actions qui vont vraiment faire la différence.
Et je pense qu’il est essentiel pour tout cela d’obtenir une collaboration entre les différentes idées de l’organe directeur, qui comprend de nombreuses entreprises technologiques, ainsi que des entreprises commerciales. Comme il y a beaucoup d’entreprises financières réellement impliquées dans l’organe directeur. Quels sont les éléments clés que nous devons vraiment aborder en premier. Donc, établir ces priorités, puis avoir un programme d’exécution et vraiment faire quelque chose à court terme, je pense que ce sera vraiment important pour ce groupe.
Dans le monde de la cybersécurité, vous apprenez souvent que personne ne prête attention à beaucoup de choses à moins qu’il n’y ait un énorme événement convaincant. Et c’est ce qu’était log4j. Donc, même si ce n’était pas souhaité, c’était utile dans cette veine. . . Donc, à la suite de toutes les réunions que nous avons eues, de la collaboration que nous avons eue dans l’ensemble de l’industrie, il va être impératif que nous exécutions, et que les choses que nous avons identifiées comme des priorités absolues que nous rendons mesurables l’avancement de ces projets cette année. C’est l’importance de cette journée OpenSSF ici aujourd’hui à Austin, qui nous permet, avec un ensemble clé de parties prenantes, de commencer à partager des points de vue sur les projets en cours et sur la manière dont les autres peuvent s’engager dans ces projets. Et comment, encore une fois, en travaillant ensemble, nous pouvons réellement faire une différence.
OEn travaillant ensemble, nous pouvons réellement faire une différence.
Nous abordons un nouveau niveau d’engagement autour de la sécurité, il y a toujours eu un engagement dans l’open source autour de l’innovation, autour de la fonctionnalité. Je veux dire, c’est ce qui a motivé l’open source et lui a permis d’avoir un tel succès. Et pour d’autres, d’autres sociétés comme IBM, nous en tirons un énorme avantage, d’accord, nous en avons tous tiré un énorme avantage en termes de productivité. Mais maintenant, il s’agit vraiment de se concentrer un peu plus, de se concentrer sur la sécurité, afin que nous puissions utiliser l’open source et continuer à avoir cette productivité, mais avec confiance à mesure que nous avançons.
Comment facilitons-nous la tâche des mainteneurs de ces projets open source ? Comment facilitons-nous la tâche des contributeurs, car sans cela, cela n’aura pas la consommation des développeurs en général.