La semaine dernière, j’ai eu le privilège de participer à la Sommet sur la sécurité des logiciels open source II à Washington, DC. La Fondation Linux et OpenSSF a réuni une centaine de participants issus d’entreprises, du gouvernement américain et de la communauté open source pour convenir d’un plan d’action visant à renforcer la sécurité des logiciels open source.
Si vous deviez consulter la liste des participants, vous seriez probablement frappé par le degré de collaboration entre les concurrents sur cette question. Mais ce n’est pas une surprise pour la communauté open source. La sécurité est un excellent exemple de la raison pour laquelle les organisations participent à des projets de logiciels open source.
Ce sont des organisations qui se réunissent pour trouver une solution commune à un problème commun afin qu’elles puissent se concentrer sur l’innovation.
Une question que je reçois souvent lorsque je dis aux gens où je travaille est la suivante : pourquoi les entreprises à but lucratif voudraient-elles participer à des projets open source ? Il y a de nombreuses raisons, bien sûr, mais cela se résume au fait que les organisations se réunissent pour trouver une solution commune à un problème commun afin qu’elles puissent se concentrer sur l’innovation. Par exemple, les studios de cinéma se regroupent autour de logiciels de sauvegarde de fichiers vidéo ou de gestion des couleurs ou la l’industrie financière améliore les ordinateurs de bureau des commerçants ou alors les sociétés Web qui soutiennent les langages et les outils qui rendent le Web possible. Et ce ne sont que quelques exemples.
La sécurité est l’affaire de tous et les solutions profitent à tous. Comme l’a fait remarquer un participant au sommet : « Mes concurrents directs sont dans la salle, mais ce n’est pas un domaine où nous sommes en concurrence. Nous voulons tous protéger nos clients, nos actionnaires et nos employés. . . 99 % du temps, nous travaillons sur les mêmes problèmes et essayons de les résoudre de manière plus intelligente. »
99% du temps, nous travaillons sur les mêmes problèmes et essayons de les résoudre de manière plus intelligente.
Tout le monde est mieux loti en partageant les vulnérabilités et les solutions et en travaillant ensemble vers un objectif commun d’un écosystème plus résilient. Aucune entreprise n’est à l’abri, tout le monde s’appuie sur plusieurs progiciels open source pour exécuter le logiciel de leur organisation. Il n’est pas surprenant que des concurrents travaillent ensemble sur ce point – c’est ce que fait la communauté open source.
Alors que nous nous réunissions à DC, mon collègue Marc Miller parlé aux participants de leurs attentes et de leurs points de vue sur la réunion. Lorsqu’on lui a demandé ce qu’il espérait accomplir au cours du sommet de deux jours, Brian Fox de Sonatype a déclaré : « Le monde demande une réponse pour améliorer l’open source. Nous réunissons le gouvernement, les fournisseurs, les concurrents, [and] écosystèmes open source pour voir ce que nous pouvons faire collectivement pour élever la barre en matière de sécurité open source.
Nous réunissons le gouvernement, les fournisseurs, les concurrents, [and] écosystèmes open source pour voir ce que nous pouvons faire collectivement pour élever la barre en matière de sécurité open source.
Un autre participant a peint une image que je trouve particulièrement utile : « Je me souviens du vieux dicton, nous avons construit Internet sur du sable. J’y ai pensé, soulignant le fait que le sable fait partie du béton. Ce processus signifie que nous avons l’opportunité de consolider une grande partie de la base sur laquelle nous avons construit Internet, le code que nous développons. C’est une opportunité d’améliorer ce que nous avons actuellement, qui est un mélange de sable et de béton. Comment pouvons-nous tout concrétiser ? »
Des entreprises et des représentants de la communauté étaient au sommet, ainsi que des décideurs clés du gouvernement américain. Les hauts fonctionnaires du gouvernement étaient là toute la journée, participant à la réunion et écoutant les discussions. Leur niveau de participation m’a frappé. J’ai travaillé au sein et autour du gouvernement au niveau politique pendant 25 ans – et il est plus courant qu’autrement – que des représentants du gouvernement soient invités à prendre la parole, viennent parler, puis partent juste après avoir prononcé leurs remarques. Les voir là-bas un an après la mise en place du Décret exécutif sur l’amélioration de la cybersécurité de la nation et engagés signalent l’importance qu’ils accordent à la résolution de ce problème et le respect qu’ils ont pour le groupe qui s’est réuni la semaine dernière Bravo à Anne Neubergerson équipe et les autres qui ont rejoint le gouvernement américain.
À la fin de la première journée, un accord a été conclu sur un plan composé de 10 initiatives clés :
Éducation à la sécurité Offrez à tous une formation et une certification de base en développement de logiciels sécurisés.
L’évaluation des risques Établissez un tableau de bord d’évaluation des risques public, indépendant du fournisseur et basé sur des mesures objectives pour les 10 000 principaux composants OSS (ou plus).
Signatures numériques Accélérez l’adoption des signatures numériques sur les versions logicielles.
Sécurité de la mémoire Éliminer les causes profondes de nombreuses vulnérabilités en remplaçant les langages non sécurisés en mémoire.
Réponse aux incidents Établissez l’équipe de réponse aux incidents de sécurité OpenSSF Open Source, des experts en sécurité qui peuvent intervenir pour aider les projets open source pendant les moments critiques lors de la réponse à une vulnérabilité.
Meilleure numérisation Accélérez la découverte de nouvelles vulnérabilités par les mainteneurs et les experts grâce à des outils de sécurité avancés et des conseils d’experts.
Audits de code Effectuez des révisions de code tierces (et tout travail de correction nécessaire) de jusqu’à 200 des composants OSS les plus critiques une fois par an.
Partage de données Coordonnez le partage de données à l’échelle de l’industrie pour améliorer la recherche qui aide à déterminer les composants OSS les plus critiques.
Des SBOM partout Améliorez l’outillage et la formation SBOM pour favoriser l’adoption.
Chaînes d’approvisionnement améliorées Améliorez les 10 systèmes de build OSS les plus critiques, les gestionnaires de packages et les systèmes de distribution avec de meilleurs outils de sécurité de la chaîne d’approvisionnement et les meilleures pratiques.
Le dossier complet, Le Plan de Mobilisation de la Sécurité des Logiciels Open Sourceest disponible pour consultation et téléchargement.
Bien sûr, un plan sans action ne vaut pas grand-chose. Heureusement, les organisations investissent des ressources. Le jour de sa livraison, déjà 30 millions de dollars ont été promis pour mettre en œuvre le plan. Des organisations réservent également du personnel pour soutenir le projet :
Google a annoncé sa « nouvelle ‘équipe de maintenance Open Source’, une équipe dédiée d’ingénieurs Google qui travaillera en étroite collaboration avec les responsables en amont pour améliorer la sécurité des projets open source critiques ».
Services Web Amazon engagé 10 millions de dollars en financement en plus des ressources d’ingénierie« nous poursuivrons et augmenterons nos engagements existants de contributions directes d’ingénierie à des projets open source critiques.
Intel est jenaugmentant son investissement: « JEntel a une longue histoire de leadership et d’investissement dans les logiciels open source et l’informatique sécurisée. Au cours des cinq dernières années, Intel a investi plus de 250 millions de dollars dans l’amélioration de la sécurité des logiciels open source. Alors que nous approchons de la prochaine phase des initiatives d’écosystème ouvert, Intel renforce son engagement à soutenir la Fondation Linux par des pourcentages à deux chiffres.
Microsoft ajoute 5 millions de dollars de financement supplémentaire parce que, « Les logiciels open source sont au cœur de la stratégie technologique de presque toutes les entreprises. La collaboration et l’investissement à travers l’écosystème renforcent et maintiennent la sécurité pour tous.
Ces investissements sont le début d’une initiative visant à recueillir 150 millions de dollars pour la mise en œuvre du projet.
La réunion de la semaine dernière et le plan marquent le début d’une nouvelle mise en commun critique de ressources – connaissances, personnel et argent – pour renforcer davantage l’infrastructure numérique mondiale, le tout reposant sur une base de logiciels open source. C’est la prochaine étape (enfin, vraiment plusieurs étapes) dans le voyage.
Si vous souhaitez vous joindre aux efforts, commencez par le OpenSSF.