Sécuriser les logiciels open source, à la manière du Cyber Resilience Act – DevOps.com
La Fondation Eclipse et d’autres organisations open source travaillent à la mise en œuvre des exigences de sécurité en matière de développement de logiciels de la Cyber Resilience Acts de l’Union européenne.
Si quelqu’un doutait encore de la nécessité de mieux sécuriser les logiciels open source, le récent incident de porte dérobée de sécurité XZ a été une alarme retentissante. L’Union européenne (UE) l’a compris il y a quelque temps. Dans sa Cyber Resilience Act (CRA), elle a demandé à la communauté open source d’établir des spécifications communes pour le développement de logiciels sécurisés. La Fondation Eclipse et de nombreuses autres organisations open source de premier plan, notamment Apache Software Foundation, Blender Foundation, OpenSSL Software Foundation, PHP Foundation, Python Software Foundation et Rust Foundation, sont prêtes à relever le défi.
La Fondation Eclipse est à la tête des efforts visant à créer un cadre unifié pour le développement de logiciels sécurisés. Les fondations et leurs alliés le font via un nouveau groupe de travail, établi dans le cadre du processus de spécification de l’Eclipse Foundation.
La collaboration ne se limite pas à la conformité réglementaire. À une époque où les logiciels open source jouent un rôle essentiel dans la société moderne, l’impératif de sûreté, de fiabilité et de sécurité des logiciels n’a jamais été aussi critique. Comme l’a déclaré Arpit Joshipura, vice-président principal des réseaux de la Linux Foundation, lors de l’Open Source Summit Europe à Bilbao, en Espagne, l’année dernière : « Nous devons regarder l’objectif final. L’objectif final pour nous tous est le même. Nous voulons sécuriser les logiciels et nous voulons sécuriser les logiciels open source.
Ce processus ne sera pas facile. Ce sera un voyage de normalisation hautement technique. Le projet démarrera avec les politiques et procédures de sécurité actuelles des fondations open source impliquées. Le résultat final sera des spécifications de processus, qui seront mises gratuitement à disposition sous une licence de droit d’auteur de spécification libérale et une licence de brevet libre de redevances.
La Fondation Eclipse et ses amis ne sont pas les seuls à travailler sur de tels efforts de sécurité. Par exemple, le groupe de travail Open Source Security Foundation (OpenSSF) et l’Open Source Consumption Manifesto (OSCM) travaillent également à l’intégration des meilleures pratiques de sécurité dans les chaînes d’approvisionnement de logiciels open source.
En vertu de l’ARC, la personne morale, qui n’est pas la même chose qu’une personne en chair et en os lisant cette histoire, responsable de ces nouvelles politiques et de leur mise en œuvre sera connue sous le nom d’Open Source Software Steward. Ce sera un sacré travail.
Au-delà du code et des problèmes techniques, les groupes open source doivent travailler avec les organismes de normalisation traditionnels. Historiquement, aucun des deux types de groupes n’a bien fonctionné les uns avec les autres. Pire encore, les modèles standards de gouvernance des organisations ne permettent même pas de gérer les groupes open source. En effet, pour que ces efforts puissent aboutir à une réglementation, il faudra passer par les processus formels de normalisation d’au moins l’une des organisations européennes de normalisation.
Cela va être donc beaucoup de plaisir!
Pour ajouter l’insulte à l’injure, l’établissement de normes technologiques prend généralement des années, et l’ARC exige que les développeurs aient quelque chose en place d’ici 2027. Bonne chance !
Il y aura énormément de travail à faire au cours des trois prochaines années pour mettre en œuvre le CRA, a déclaré le directeur exécutif de la Fondation Eclipse, Mike Milinkovich. C’est la première loi au monde réglementant l’industrie du logiciel dans son ensemble. Les implications de cette évolution vont bien au-delà de la communauté open source et auront un impact sur les startups et les petites entreprises ainsi que sur les acteurs industriels mondiaux.
Malgré les défis, l’initiative représente un pas en avant crucial. Le groupe de travail est optimiste quant à la possibilité de jeter les bases de normes de cybersécurité pouvant servir à la fois aux domaines des logiciels open source et propriétaires.
Je leur souhaite bonne chance. Ils en auront besoin.