L' Cybersecurity & Infrastructure Security Agency (CISA) a récemment introduit une stratégie globale visant à renforcer la sécurité des logiciels open source (OSS). Cette initiative constitue une réponse essentielle au décret du président Joe Biden de mai 2021, qui soulignait l'importance de la cybersécurité et suggérait des mesures pour son amélioration. Depuis cette ordonnance, des progrès substantiels ont été réalisés pour fournir des lignes directrices efficaces aux entreprises pour atteindre ces objectifs de cybersécurité.
La feuille de route récemment publiée est la réponse de CISA au renforcement de ces mesures de cybersécurité, spécifiquement axées sur la sécurité des logiciels libres.
L'agence reconnaît l'énorme potentiel des logiciels libres pour favoriser l'innovation et faciliter les processus de développement de logiciels, et cherche à permettre sa mise en œuvre et son développement sécurisés, tant à l'intérieur qu'à l'extérieur des paramètres du gouvernement fédéral.
La feuille de route délimite deux principaux types de susceptibilités liées aux logiciels open source. L’un d’entre eux concerne les effets d’entraînement potentiels des vulnérabilités des logiciels libres largement utilisés, illustrés par l’incident Log4Shell, où des effets néfastes généralisés ont été observés à la suite d’une compromission des logiciels libres. Le deuxième type englobe les attaques sur la chaîne d'approvisionnement des référentiels OSS, qui pourraient entraîner des effets néfastes en aval, comme la compromission du compte d'un développeur, permettant à un attaquant d'intégrer du code malveillant.
La stratégie définit quatre priorités principales, notamment la définition du rôle de soutien de CISA dans la sécurité des logiciels libres, l'amélioration de la visibilité sur l'utilisation et les risques associés aux logiciels libres, la réduction des risques pour le gouvernement fédéral et le renforcement de l'écosystème des logiciels libres.
CISA estime que ces étapes contribueront à sa perspective envisagée en matière de logiciels open source. L'agence envisage un écosystème OSS qui soit non seulement sûr mais durable et résilient, soutenu par une communauté robuste, diversifiée et dynamique.
Dan Lorenc, PDG et co-fondateur de l'entreprise de sécurité de la chaîne d'approvisionnement Chainguard, fait écho à ce sentiment. Il félicite CISA pour sa segmentation détaillée des défis dans ce domaine et la priorisation de leur résolution. Il apprécie la reconnaissance par CISA du fait que ce travail doit avoir lieu « en amont » et que ses employés doivent s'engager directement auprès des communautés concernées. Bien qu'il ait exprimé une certaine incertitude quant à la mise en œuvre de ce point, il reste optimiste.
Lorenc suggère que le gouvernement devrait envisager de financer des projets open source – ce qui n'est pas actuellement abordé dans la feuille de route. La capacité du gouvernement à soutenir financièrement ces projets pourrait grandement faciliter des objectifs tels que l'amélioration de la sécurité de la mémoire, la résolution des vulnérabilités et l'amélioration des outils SBOM.
Lorenc a également mentionné que le modèle de collaboration du gouvernement devrait aller au-delà de l'intendance passive et contribuer de manière proactive à l'amélioration de ces mesures.
Les plates-formes, telles AppMaster, s'appuient fortement sur des logiciels open source, alliant sécurité robuste, flexibilité et expérience utilisateur haut de gamme. Ils partagent les mêmes préoccupations et attendent avec impatience la mise en œuvre réussie de cette feuille de route.
