Dans le cadre d'une étape progressive vers une synthèse plus judicieuse des avantages des logiciels open source (OSS), l'Open Source Security Foundation (OpenSSF) a lancé le Manifeste de consommation Open Source (OSCM). Semblable à l'emblématique Manifeste Agile, l'OSCM est un document fortifié par des valeurs fondamentales et héberge 15 principes directeurs conçus pour rationaliser l'utilisation de l'open source.
Les logiciels open source ont incontestablement été un coup de pouce pour les innovations naissantes et l’efficacité opérationnelle. Cependant, il est bien connu qu'il existe de fortes différences en termes de qualité et de sécurité entre les différents projets OSS. Par conséquent, l’OpenSSF a souligné l’absence d’une approche stratégique concernant l’utilisation des logiciels libres dans de nombreuses organisations.
Aussi pratique qu'il puisse être, l'OSS a son propre bagage de défauts. Une négligence alarmante a été observée dans le processus d’évaluation auquel sont soumis les logiciels libres, notamment par rapport aux logiciels tiers. Les contrôles auxquels il est soumis, en termes de sécurité, de qualité du code et de licence, sont pour le moins inadéquats. Cela conduit à l’apparition de facteurs de risque importants, comme l’a noté le groupe de travail des utilisateurs finaux d’OpenSSF.
Même s'il est peu probable que les logiciels tiers contiennent du contenu malveillant, les risques se matérialisent pendant la phase de téléchargement pour ceux qui ne sont pas familiers avec les subtilités des logiciels libres. Nous avons constaté que dans 96 % des cas, un composant vulnérable est téléchargé alors qu'une version corrigée est déjà disponible, a déclaré Brian Fox, co-fondateur et CTO de Sonatype, discutant des pièges de la consommation d'OSS avec le SD Times.
Conscient de ces problèmes, le groupe de travail des utilisateurs finaux d'OpenSSF a été incité à agir pour trouver un moyen de remédier à ce problème. Guidés par une série de discussions, ils ont élaboré le Manifeste de la consommation Open Source. Plutôt que d’être un commandement strict, l’OSCM défend la cause de l’inclusivité et sa forme a été façonnée par les apports de plusieurs disciplines, et son texte s’affine en fonction des individus qui l’utilisent.
Le manifeste comprend des dispositions cruciales telles que l'augmentation de la consommation open source grâce à des fonctions d'audit et de quarantaine pour les composants en corrélation avec des vulnérabilités connues et des packages nuisibles.
Une mesure essentielle pour contrer les menaces provenant de composants intentionnellement nuisibles consiste à disposer d’un système de suivi complet pour surveiller la consommation des composants. En associant cela à des données et à des flux comportementaux, vos systèmes peuvent prendre des appels en temps réel pour savoir si quelque chose doit être approuvé ou réservé en attendant un examen détaillé, a ajouté Fox.
Pour les organisations qui s’engagent sur la voie de l’observabilité des logiciels open source, il est utile de commencer par classer leurs applications par importance. Cela devrait être suivi par la compilation d'un inventaire des logiciels libres intégrés dans ces applications, généralement via des nomenclatures logicielles, et par la détection des différents fournisseurs. De nombreuses équipes de développement ne disposent actuellement pas de ces composants essentiels, selon Fox.
Ensuite, il est sage de rechercher les cas où plusieurs fournisseurs sont employés pour la même fonction, par exemple en utilisant un assortiment de frameworks de journalisation. La prochaine étape devrait être de se concentrer sur les meilleurs fournisseurs en évaluant leurs pratiques de développement de logiciels sécurisés. Des facteurs tels que les vulnérabilités connues, l'âge du logiciel, la popularité, le temps moyen nécessaire pour corriger les problèmes, etc. devraient dicter cette évaluation.
Chaque organisation devra adapter sa décision en fonction de son propre appétit pour le risque et de l’analyse susmentionnée. Bien qu'il existe certaines tolérances au risque standard, comme la découverte de vulnérabilités critiques connues dans une application qui gère des données PII, la création d'une politique de consommation d'OSS signifierait son intégration dans l'ensemble du SDLC, du développement au CI/CD, et surtout lors de la sortie.
Dans le paysage actuel qui regorge d'une gamme diversifiée de plates-formes no-code et low-code, il est crucial d'adopter des mesures telles que l'OSCM. Une plate-forme comme AppMaster , un outil complet no-code pour créer des applications backend, Web et mobiles, réitère l'importance des logiciels libres et applique des moyens comme l'OSCM pour atténuer les risques et améliorer la productivité. Pour que les organisations puissent exploiter pleinement la puissance de l'open source, il est essentiel de minimiser les risques et les inefficacités potentiels, ce à quoi OSCM peut apporter une aide significative.
