La Open Source Software Foundation (OpenSSF) officiellement lancé le 3 août 2020. Dans cet article, nous verrons pourquoi l’OpenSSF a été formé, ce qu’il a accompli au cours de ses six premiers mois et ses projets pour l’avenir.

Le monde dépend des logiciels open source (OSS), donc la sécurité OSS est vitale. Divers efforts ont été déployés pour améliorer la sécurité des logiciels libres. Ces efforts incluent la Core Infrastructure Initiative (CII) de la Linux Foundation, l’Open Source Security Coalition (OSSC) fondée par le GitHub Security Lab et la Joint Open Source Software Initiative (JOSSI) fondée par Google et d’autres.

Il est devenu évident que les progrès seraient plus faciles si ces efforts fusionnaient en un seul effort. L’OpenSSF a été créé en 2020 à la suite de la fusion de ces trois groupes dans «une collaboration intersectorielle qui rassemble des leaders pour améliorer la sécurité des logiciels open source (OSS)».

L’OpenSSF a certainement gagné cette «collaboration intersectorielle»; ses dizaines de membres incluent (par ordre alphabétique) Canonical, GitHub, Google, IBM, Intel, Microsoft et Red Hat. Son conseil d’administration comprend également un représentant individuel de la communauté de la sécurité pour représenter ceux qui ne sont pas représentés spécifiquement par d’autres moyens. Il a également créé des structures pour aider les gens à travailler ensemble: il a établi des groupes de travail actifs, identifié (et affiché) ses valeurs, et convenu de sa vision technique.

Mais rien de tout cela n’a d’importance à moins qu’ils produire résultats. Il est encore tôt, mais ils ont déjà plusieurs réalisations. Ils ont publié:

  • Cours sur les principes de base du développement logiciel sécurisé. Cet ensemble de 3 cours disponibles gratuitement sur la plateforme edX est destiné aux développeurs de logiciels pour apprendre à développer des logiciels sécurisés. Il se concentre sur les étapes pratiques que tout développeur de logiciel peut facilement prendre, et non sur la théorie ou les actions nécessitant des ressources illimitées. Les développeurs peuvent également payer des frais pour passer des tests afin de tenter d’obtenir des certificats pour prouver qu’ils comprennent le matériel.
  • Scorecards de sécurité. Cela génère automatiquement un «score de sécurité» pour les projets open source afin d’aider les utilisateurs à décider de la confiance, des risques et de la sécurité pour leur cas d’utilisation.
  • Score de criticité. Ce projet génère automatiquement un score de criticité pour les projets open source en fonction d’un certain nombre de paramètres. L’objectif est de mieux comprendre les projets open source les plus critiques dont le monde dépend.
  • Tableau de bord des mesures de sécurité. Ce travail de version anticipée fournit un tableau de bord d’informations sur la sécurité et le maintien des projets OSS en combinant les cartes de score de sécurité, les meilleures pratiques CII et d’autres sources de données.
  • Benchmark OpenSSF CVE. Ce benchmark se compose de code vulnérable et de métadonnées pour plus de 200 vulnérabilités JavaScript / TypeScript (CVE) historiques. Cela aidera les équipes de sécurité à évaluer différents outils de sécurité du marché en permettant aux équipes de déterminer les taux de faux positifs et de faux négatifs avec des bases de code réelles au lieu d’un code de test synthétique.
  • Cadre de connaissances sur la sécurité OWASP (SKF). En collaboration avec OWASP, ce travail est une base de connaissances qui comprend des projets avec des listes de contrôle et des exemples de code de bonnes pratiques dans plusieurs langages de programmation. Il comprend des supports de formation pour les développeurs sur la façon d’écrire du code sécurisé dans des langues spécifiques et des laboratoires de sécurité pour un travail pratique.
  • Rapport sur l’enquête 2020 auprès des contributeurs FOSS, L’OpenSSF et le Laboratory for Innovation Science at Harvard (LISH) ont publié un rapport qui détaille les résultats d’une enquête auprès des contributeurs afin d’étudier et d’identifier les moyens d’améliorer la sécurité et la durabilité des logiciels libres. Il y avait près de 1 200 répondants.

L’existant Badge des meilleures pratiques CII Le projet a également été intégré à l’OpenSSF et continue d’être amélioré. Le projet a maintenant plus de traducteurs chinois, une nouvelle traduction en swahili en cours et diverses petites améliorations qui clarifient les exigences en matière de badges.

La Novembre 2020 Mairie d’OpenSSF a discuté des travaux en cours de l’OpenSSF. L’OpenSSF dispose actuellement des groupes de travail suivants:

  • Divulgations de vulnérabilité
  • Outillage de sécurité
  • Meilleures pratiques de sécurité
  • Identifier les menaces de sécurité sur les projets Open Source (en se concentrant sur un tableau de bord de métriques)
  • Sécurisation des projets critiques
  • Attestation d’identité numérique

Les travaux potentiels futurs, autres que l’amélioration continue des travaux déjà publiés, comprennent:

  • Identifier les chevauchements et les exigences de sécurité associées dans diverses spécifications pour réduire les efforts en double. Ceci doit être développé en collaboration avec l’OWASP en tant que chef de file et est appelé le Énumération des exigences communes (CRE). La CRE doit «relier des sections de la norme[s] et des directives les uns aux autres, en utilisant un identifiant de sujet mutuel, permettant aux fabricants de normes et de schémas de travailler efficacement, permettant aux utilisateurs standard de trouver les informations dont ils ont besoin et de parvenir à une compréhension commune dans l’industrie de ce qu’est la cybersécurité. [Source: “Common Requirements Enumeration”]
  • Création d’un site Web pour un accès sans installation à un tableau de bord OSS de mesures de sécurité. Encore une fois, cela fournira une vue unique des données provenant de plusieurs sources de données, y compris les scorecards de sécurité et les meilleures pratiques CII.
  • Développer une identification améliorée des projets OSS critiques. Harvard et la LF ont déjà travaillé pour identifier les projets OSS critiques. Au cours de l’année à venir, ils affineront leurs approches et ajouteront de nouvelles sources de données pour mieux identifier les projets OSS critiques.
  • Financer des projets OSS critiques spécifiques pour améliorer leur sécurité. On s’attend à ce que cela se concentre sur les projets critiques de l’OSS qui ne sont pas autrement financés adéquatement et s’efforcera d’améliorer leur durabilité globale.
  • Identifier et mettre en œuvre des techniques améliorées et simplifiées pour la signature numérique des commits et vérifier ces attestations d’identité.

Comme pour tous les projets de la Linux Foundation, le travail de l’OpenSSF est décidé par ses participants. Si vous êtes intéressé par la sécurité de l’OSS dont nous dépendons tous, consultez l’OpenSSF et participez d’une manière ou d’une autre. La meilleure façon de s’impliquer est d’assister aux réunions du groupe de travail – elles ont généralement lieu toutes les deux semaines et sont très informelles. En travaillant ensemble, nous pouvons faire une différence. Pour plus d’informations, consultez https://openssf.org

David A. Wheeler, Directeur de la sécurité de la chaîne d’approvisionnement Open Source à la Linux Foundation

La poste Open Source Security Foundation (OpenSSF): réflexion et avenir est apparu en premier le Fondation Linux.

Leave a Reply