par Ashwin Ramaswami
Juin 2022 a vu la publication de Relever les défis de la cybersécurité dans les logiciels open source, une initiative de recherche conjointe lancée par l’Open Source Security Foundation en collaboration avec Linux Foundation Research et Snyk. La recherche plonge dans les problèmes de sécurité dans l’écosystème open source. Si vous ne l’avez pas lu, cet article vous donnera le qui, quoi et pourquoi du rapport, en résumant ses principaux points à retenir afin qu’il puisse être pertinent pour vous ou votre organisation.
A qui s’adresse le rapport ?
Ce rapport s’adresse à tous ceux dont le travail touche aux logiciels open source. Que vous soyez un utilisateur de l’open source, un développeur OSS ou que vous fassiez partie d’une institution ou d’une fondation liée à l’OSS, vous pouvez bénéficier d’une meilleure compréhension de l’état de la sécurité dans l’écosystème.
Consommateurs et utilisateurs open source : Il est très probable que vous comptiez sur des logiciels open source en tant que dépendances si vous développez des logiciels. Et si vous le faites, une considération importante est la sécurité de la chaîne d’approvisionnement des logiciels. Les incidents de sécurité tels que log4shell ont montré comment la sécurité de la chaîne d’approvisionnement open source touche presque tous les secteurs. Même les industries et les organisations qui, traditionnellement, ne se concentraient pas sur les logiciels open source réalisent désormais l’importance de garantir la sécurité de leurs dépendances OSS. Comprendre l’état de la sécurité OSS peut vous aider à gérer intelligemment vos dépendances, à les choisir judicieusement et à les tenir à jour.
Développeurs et mainteneurs open source : Les personnes et les organisations qui développent ou maintiennent des logiciels open source doivent s’assurer qu’elles utilisent les meilleures pratiques et politiques de sécurité. Par exemple, il peut être utile pour les grandes organisations d’avoir des politiques de sécurité open source. De plus, de nombreux développeurs OSS utilisent également d’autres logiciels open source comme dépendances, ce qui rend la compréhension du paysage de la sécurité OSS encore plus précieuse. Les développeurs ont un rôle unique à jouer dans la direction de la création d’un code de haute qualité et des cadres de gouvernance respectifs et des meilleures pratiques qui l’entourent.
Établissements : Les institutions telles que les fondations open source, les bailleurs de fonds et les groupes de décideurs peuvent bénéficier de ce rapport en comprenant et en mettant en œuvre les principales conclusions de la recherche et leurs rôles respectifs dans l’amélioration de l’état actuel de l’écosystème OSS. Le financement et le soutien ne peuvent aller dans les bons domaines que si les priorités sont éclairées par les problèmes auxquels la communauté est actuellement confrontée, que la recherche aide à identifier.
Quels sont les principaux plats à emporter?
Les données de ce rapport ont été recueillies en menant une enquête mondiale auprès de :
Les personnes qui contribuent à, utilisent ou administrent l’OSS ; Les responsables, les principaux contributeurs et les contributeurs occasionnels à l’OSS ; Les développeurs de logiciels propriétaires qui utilisent l’OSS ; etPersonnes fortement axées sur la sécurité de la chaîne d’approvisionnement des logiciels
L’enquête comprenait également des données recueillies auprès de plusieurs grands écosystèmes de paquets en utilisant Snyk Open Sourceun outil d’analyse de code statique (SCA) gratuit à utiliser pour les particuliers et les mainteneurs open source.
Voici les principaux points à retenir et recommandations du rapport :
Trop d’organisations ne sont pas préparées à répondre aux besoins de sécurité OSS : Au moins 34 % des organisations n’avaient pas de politique de sécurité OSS en place, ce qui suggère que ces organisations ne sont peut-être pas préparées à répondre aux besoins de sécurité OSS.Les petites organisations doivent donner la priorité au développement d’une politique de sécurité OSS : Les petites organisations sont beaucoup moins susceptibles d’avoir une politique de sécurité OSS. Ces organisations devraient donner la priorité à l’élaboration de cette politique et à la présence d’un CISO et d’un OSPO (Open Source Program Office).L’utilisation d’outils de sécurité supplémentaires est un excellent moyen d’améliorer la sécurité OSS : Des outils de sécurité sont disponibles pour la sécurité open source tout au long du cycle de vie du développement logiciel. De plus, les organisations dotées d’une politique de sécurité OSS ont une fréquence d’utilisation des outils de sécurité plus élevée que celles qui n’ont pas de politique de sécurité OSS.Collaborez avec les fournisseurs pour créer des outils de sécurité plus intelligents : Les organisations considèrent que l’un des moyens les plus importants d’améliorer la sécurité OSS tout au long de la chaîne d’approvisionnement consiste à ajouter une plus grande intelligence aux outils de sécurité logicielle existants, ce qui facilite l’intégration de la sécurité OSS dans les flux de travail existants et la création de systèmes.La mise en œuvre des meilleures pratiques pour le développement de logiciels sécurisés est l’autre moyen d’améliorer la sécurité OSS : Comprendre les meilleures pratiques pour le développement de logiciels sécurisés, grâce à des cours tels que OpenSSF Cours sur les bases du développement logiciel sécuriséa été identifié à plusieurs reprises comme un moyen majeur d’améliorer la sécurité de la chaîne d’approvisionnement OSS.Utilisez l’automatisation pour réduire votre surface d’attaque : Les outils et analyseurs d’infrastructure en tant que code (IaC) permettent d’automatiser les activités CI/CD afin d’éliminer les vecteurs de menace autour des déploiements manuels.Les consommateurs de logiciels open source devraient redonner aux communautés qui les soutiennent : L’utilisation de logiciels open source a souvent été une rue à sens unique où les utilisateurs voient des avantages significatifs avec un coût ou un investissement minimal. Pour que les grands projets open source répondent aux attentes des utilisateurs, les organisations doivent redonner et boucler la boucle en soutenant financièrement les projets OSS qu’ils utilisent.
Pourquoi est-ce important maintenant ?
Le logiciel libre est une aubaine : son caractère collaboratif et ouvert a permis à la société de bénéficier de divers outils logiciels innovants, fiables et gratuits. Cependant, ces avantages ne durent que lorsque les utilisateurs contribuent aux logiciels open source et lorsque les utilisateurs et les développeurs exercent une diligence raisonnable en matière de sécurité. Alors que les projets open source les plus réussis ont obtenu un tel soutien, d’autres projets n’en ont pas – même si l’utilisation de l’open source a continué à être plus omniprésente.
Ainsi, il est plus important que jamais d’être conscient des problèmes et des enjeux auxquels chacun est confronté dans l’écosystème OSS. Certaines organisations et mainteneurs open source ont des politiques et des procédures solides pour gérer ces problèmes. Mais, comme le montre ce rapport, d’autres organisations sont actuellement confrontées à ces problèmes.
Enfin, nous avons vu les risques de ne pas maintenir des pratiques de sécurité appropriées autour des dépendances OSS. L’absence de mise à jour des dépendances open source a entraîné des coûts aussi élevés que 425 millions de dollars. Compte tenu de ces risques, un petit investissement dans des pratiques de sécurité solides et une sensibilisation à l’open source – comme indiqué dans les recommandations du rapport – peut faire beaucoup.
Nous vous suggérons lire le rapport – puis voyez comment vous ou votre organisation pouvez passer à l’étape suivante pour assurer votre sécurité !
La poste Relever les défis de la cybersécurité dans les logiciels open source : ce que vous devez savoir est apparu en premier sur Fondation Linux.