Google appuie de manière considérable un projet de cadre politique dirigé par le gouvernement américain visant à renforcer la sécurité des logiciels open source, exhortant le secteur privé à soutenir cette initiative.
La loi sur la sécurisation des logiciels open source présentée au Sénat le mois dernier [PDF]
est un projet de loi bipartite qui créerait un plan de sécurité et d’atténuation des risques pour l’utilisation par le gouvernement fédéral des logiciels open source.
« Nous sommes heureux de constater que le gouvernement américain continue de mettre l'accent sur l'importance de la sécurité des logiciels open source, et nous espérons que les organisations publiques et privées suivront leur exemple pour promouvoir une cybersécurité améliorée pour l'écosystème dans son ensemble », a déclaré Royal Hansen. , vice-président de l'ingénierie pour l'équipe de confiance et de sécurité de Google, dans un Article de blog du 27 octobre.
Le code logiciel open source, c’est-à-dire les éléments constitutifs disponibles gratuitement pour les applications de tous bords, est fondamentalement le moteur qui anime l’entreprise numérique moderne. Mais malveillant cyberactivité contre la chaîne d'approvisionnement en logiciels a connu une spirale tristement célèbre au cours des derniers trimestres, passant de SolarWinds
à Log4Shell
à une corne d'abondance de projets et de packages malveillants et empoisonnés apparaissant dans des référentiels de code comme npm.
Hansen a noté que « des questions apparemment simples sur la chaîne d'approvisionnement open source sont encore difficiles à répondre », notamment :
- Un projet contient-il des vulnérabilités connues ?
- Les responsables du projet et la communauté suivent-ils les meilleures pratiques de sécurité pendant le développement de logiciels ?
- Quelles dépendances open source font partie d’un logiciel particulier ?
- Dans quelle mesure la chaîne d’approvisionnement de distribution était-elle sécurisée ?
Google travaille activement sur le problème, à travers des initiatives telles que étendre ses efforts de bug bounty à l'open source. L'industrie a défendu des approches telles que factures de matériel logiciel (SBOM) et des révisions de code automatisées pour aider à détecter les éléments vulnérables avant qu'ils ne se propagent trop loin dans le paysage. Google et d'autres géants de la technologie ont également investi des millions dans des organisations à but non lucratif et des fondations logicielles comme la Fondation de sécurité Open Source pour soutenir les créateurs open source. Sur le plan politique, le gouvernement américain a adopté les SBOM pour les agences, entre autres déménagements.
La nouvelle législation fédérale, si elle est adoptée, encouragera davantage de partenariats public-privé et amènera le secteur public à la table de manière encore plus significative, selon le géant de la technologie.
« La sécurisation des logiciels open source est une responsabilité partagée, et nous sommes impatients de poursuivre notre collaboration sur ce problème urgent et critique », a déclaré Hansen.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
