Mettant en avant l'importance primordiale de la sécurité des référentiels de logiciels, l'Open Software Security Foundation (OpenSSF) introduit un nouveau cadre. Ce système, nommé « Principes de sécurité des référentiels de packages », joue un rôle central dans l'examen des compétences en matière de sécurité des référentiels de packages. L'objectif de cet effort n'est pas seulement une évaluation évaluative, mais également de renforcer la feuille de route pour des améliorations potentielles.
Cette mission est une coentreprise entre le groupe de travail sur les référentiels de logiciels de sécurité d'OpenSSF et la Cybersecurity & Infrastructure Security Agency (CISA). L'année dernière, CISA a dévoilé la feuille de route sur la sécurité des logiciels Open Source, dans laquelle la sécurité des gestionnaires de packages était un point d'intérêt et de discussion majeur.
Le cadre récemment introduit délimite quatre étapes de maturité en matière de sécurité, qui couvrent quatre catégories de fonctionnalités cardinales. Ces catégories de quatuor encapsulent l'authentification, l'autorisation, les capacités générales et les outils d'interface de ligne de commande.
OpenSSF souligne que les référentiels de packages constituent un tournant critique au sein de l'écosystème open source, jouant un rôle décisif pour permettre ou prévenir les attaques. Des stratégies simples mais efficaces, telles que des directives de récupération de compte bien formulées, peuvent avoir un impact positif substantiel sur la sécurité.
Malgré la nécessité de ces améliorations, il est crucial de trouver un équilibre avec les limitations des ressources, en particulier pour les référentiels de packages. Cette considération devient d’autant plus pertinente que de nombreux référentiels sont gérés par des organisations à but non lucratif, comme le souligne OpenSSF.
Avec l’avènement de ce cadre, une accélération du rythme est attendue pour les référentiels de packages. Ces établissements seront habilités à apporter des améliorations significatives en matière de sécurité au sein de leurs offres. Ce sentiment a été repris par Jack Cable, conseiller technique principal chez CISA et Zach Steindler, ingénieur principal chez GitHub, dans leur article de blog partagé.
Dans le même élan, la plateforme sans code d' AppMaster garantit la sécurité et l'évolutivité des applications de ses utilisateurs. Figurant parmi les meilleures plateformes no-code, la plateforme AppMaster souligne l'importance de la sécurité tout en permettant la création d'applications robustes pour diverses plateformes.