Les logiciels libres (OSS) sont d’une importance vitale pour le fonctionnement de la société d’aujourd’hui ; il sous-tend une grande partie de l’économie mondiale. Cependant, certains OSS sont hautement sécurisés, tandis que d’autres ne sont pas aussi sécurisés qu’ils devraient l’être.
De par sa nature, l’open source permet examen par les pairs dans le monde entier, même si sa transparence a le potentiel d’améliorer la sécurité des logiciels, ce potentiel n’est pas toujours réalisé. Beaucoup de gens travaillent pour améliorer les choses là où c’est nécessaire. La plupart de ce travail est effectué par des bénévoles ou des organisations extérieures à la Linux Foundation (LF) qui paient directement des personnes pour faire le travail (généralement en tant qu’employés). Souvent, ces personnes travaillent ensemble au sein d’une fondation qui fait partie de la Linux Foundation. quelquefois, cependant, la FL ou une fondation/un projet de FL (par exemple, un fonds) finance directement des personnes pour effectuer des travaux de sécurité.
À la Linux Foundation (LF), j’ai le privilège de superviser des travaux ciblés visant à améliorer la sécurité des logiciels libres par ceux-là mêmes qui sont payés pour le faire. Ce travail est financé par diverses subventions et fondations, avec des crédits à des organisations comme Google, Microsoft, le Fondation de sécurité Open Source (OpenSSF), les Fondation LF Santé Publique, et la LF elle-même.
La FL et ses fondations font beaucoup plus que je ne supervise pas, donc je n’ai énuméré que ceux avec lesquels je suis personnellement impliqué dans l’intérêt de la brièveté. J’espère que cela vous donnera une idée de certaines des choses que nous faisons que vous ne connaissez peut-être pas autrement.
Le processus typique de surveillance des FL pour ce travail est décrit dans «Financement de la sécurité de la LF après approbation. » Généralement, les artistes interprètes ou exécutants doivent fournir un résumé périodique de leur travail afin qu’ils puissent être payés. La plupart de ces résumés sont publics, et dans ces cas, il est facile pour les autres de découvrir leur travail intéressant !
Voici un échantillon des travaux que je supervise :
Ariane Conill améliore la sécurité d’Alpine Linux, y compris des améliorations significatives de son traitement des vulnérabilités et le rend reproductible. Par exemple, comme indiqué dans le rapport de juillet 2021, cela a abouti à la publication d’Alpine 3.14 avec le plus faible nombre de vulnérabilités ouvertes dans la version finale depuis longtemps. La sécurité d’Alpine Linux est importante car de nombreux conteneurs l’utilisent. Pour plus d’informations, consultez « Bits relatifs aux initiatives de sécurité alpines en juin » et « Morceaux relatifs aux initiatives de sécurité alpines en juillet. « kpcyrd fait beaucoup de travail de construction reproductible sur les distributions Linux, notamment Alpine Linux (y compris sur Raspberry Pi) et Arch Linux. Les builds reproductibles sont une contre-mesure puissante contre les attaques du système de build (telles que le attaque dévastatrice sur SolarWinds Orion). Plus de la moitié des packages actuellement non reproductibles dans Arch Linux ont maintenant été examinés et classés.David Husseby a travaillé sur la modification git pour avoir une infrastructure de signature cryptographique beaucoup plus flexible. Cela facilitera la vérification de l’intégrité du code source du logiciel ; git est largement utilisé pour gérer le code source.Théo de Raadt a également reçu un financement pour sécuriser la « plomberie » critique derrière l’infrastructure de communication moderne : ce financement est utilisé pour améliorer OpenSSH (un outil largement utilisé dont la sécurité est critique). Celles-ci incluent diverses améliorations mineures, un analyseur de fichier de configuration mis à jour et une transition vers l’utilisation du protocole SFTP plutôt que l’ancien protocole RCP dans le scp(1) programme. Il est également utilisé pour améliorer client-rpki, mettant en œuvre une infrastructure à clé publique de ressource (RPKI). RPKI est un protocole important pour protéger les protocoles de routage d’Internet contre les attaques. Ces améliorations mettent en œuvre le protocole de transfert de données RPKI Repository Delta Protocol (RRDP) et corrigent divers cas extrêmes (par exemple, via des contrôles de validation supplémentaires). Le https://irrexplorer.nlnog.net/ service utilise même rpki-client dans les coulisses.
Nathan Chancelier est améliorer la capacité du noyau Linux à être compilé avec bruit (au lieu de juste gcc). Cela inclut l’élimination des messages d’avertissement de clang (ce qui aide à réduire les bogues du noyau même lorsque gcc est utilisé) et la correction/extension du compilateur clang (qui aide les utilisateurs de clang lors de la compilation de code autre que le noyau Linux). Sans surprise, cela implique de changer à la fois le noyau Linux et l’infrastructure du compilateur clang/LLVM, et parfois aussi d’autres logiciels. À long terme, éliminer les avertissements qui, en eux-mêmes n’y a-t-il pas de bogues, c’est important ; les développeurs ignoreront les avertissements s’il y en a beaucoup qui ne sont pas pertinents, mais s’il n’y en a que quelques-uns, ils les examineront (rendant les avertissements plus utiles). cela peut contrer de nombreuses attaques sur arm64, et le travail permettra éventuellement la prise en charge de x86_64.
Je supervise certains audits de sécurité menés via le Fonds pour l’amélioration des technologies Open Source (OSTIF) lorsqu’il est financé par le FL. Nous (la LF) travaillons souvent avec l’OSTIF pour réaliser des audits de sécurité. Nous travaillons avec l’OSTIF pour définir la portée de l’audit, puis l’OSTIF lance un processus d’appel d’offres où des cabinets d’audit de sécurité qualifiés proposent de faire le travail. Nous travaillons ensuite avec l’OSTIF pour sélectionner le gagnant (qui n’est pas toujours le moins cher — nous voulons du bon travail, pas une case à cocher). L’OSTIF & moi supervisons ensuite le processus et examinons le résultat final. Notez que nous ne voulons pas seulement faire des audits, nous voulons également résoudre ou atténuer tous les problèmes critiques identifiés par les audits, mais les audits nous aident à trouver les problèmes clés. Les experts en la matière réalisent les rapports d’audit, et le traitement des appels d’offres est l’objectif principal de l’OSTIF, ma principale contribution est donc généralement d’aider à garantir que ces rapports sont clairs pour les non-experts tout en étant précis. Les experts oublient parfois d’expliquer leur contexte et leur jargon, et il est parfois difficile d’y remédier (vous devez connaître la terminologie et la technologie pour l’expliquer). Ce travail comprenait deux audits de sécurité liés au noyau Linux, un pour les politiques de signature et de gestion des clés et l’autre pour rapports de vulnérabilité et correction. j’ai aussi supervisé audits des applications de notification d’exposition COVID Shield et COVID Green : Cela ne fait pas partie de ma supervision de l’OSTIF au nom de la LF, mais je parle aussi de manière informelle avec l’OSTIF d’autres OSS qu’ils auditent(comme le flux2, lodash, jackson-core, jackson-databind, httpcomponents-core, httpcomposants-client, laravel, etslf4j). Un peu de coordination et de partage de conseils entre experts peut tout améliorer.
L’avenir est difficile à prévoir, mais nous prévoyons d’en faire plus. Fin juillet, le Conseil consultatif technique (TAC) d’OpenSSF a recommandé d’approuver le financement d’un audit de sécurité de (une partie de) Symfony, un framework Web largement utilisé. Le conseil d’administration d’OpenSSF (GB) a approuvé cela le 2021-08-05 et je pense que l’OSTIF acceptera bientôt des offres à ce sujet.
L’OpenSSF prend également des mesures pour collecter plus d’argent via les cotisations des membres (cela a été retardé en raison de COVID ; démarrer une nouvelle fondation est plus difficile pendant une pandémie). Une fois que l’OpenSSF aura plus d’argent, nous nous attendons à ce qu’il finance beaucoup plus de travail pour identifier les projets critiques, faire des audits de sécurité, résoudre des problèmes et améliorer ou créer des projets pour renforcer la sécurité OSS. L’avenir s’annonce radieux.
N’oubliez pas qu’il ne s’agit que d’un petit partie du travail en cours pour améliorer la sécurité des logiciels libres. Presque tous les projets LF doivent être sécurisés, c’est pourquoi la plupart des projets de fondations incluent des efforts de sécurité non répertoriés ici. Comme indiqué précédemment, la plupart du travail de développement est effectué par des bénévoles ou par des organisations non-FL qui paient directement des personnes pour faire le travail (généralement des employés).
Le OpenSSF a plusieurs groupes de travail et de nombreux projets où les gens travaillent ensemble pour améliorer la sécurité OSS. Ceux-ci inclus cours gratuits sur la façon de développer des logiciels sécurisés et le Insigne des bonnes pratiques CII projet. Nous (au LF) avons aussi de nombreux autres projets visant à améliorer la sécurité des logiciels libres. Par exemple, sigstore rend les signatures cryptographiques beaucoup plus faciles ; l’outil « cosign » de sigstore vient de sortir sa version 1.0. De nombreuses organisations se sont récemment intéressées à nomenclatures logicielles (SBOM), et nous travaillons sur des SBOM depuis longtemps.
Si vous ou votre organisation souhaitez financer un travail ciblé sur l’amélioration de la sécurité des logiciels libres, contactez-nous ! Vous pouvez contribuer au OpenSSF (en général ou en tant que fonds dirigé) ; juste les contacter (par exemple, Microsoft a contribué à OpenSSF en décembre 2020). Si vous préférez, vous pouvez créer une subvention directement avec la Linux Foundation elle-même — envoyez-moi simplement un e-mail à
Mes sincères remerciements à tous les interprètes pour leur travail important et à tous les bailleurs de fonds pour la confiance qu’ils nous accordent !
À propos de l’auteur : David A. Wheeler est directeur de la sécurité de la chaîne d’approvisionnement Open Source pour la Linux Foundation.
La poste Travaux de sécurité open source financés à la Linux Foundation est apparu en premier sur Fondation Linux.