Le président américain Biden a signé un décret en mai 2021 pour améliorer la cybersécurité. Aujourd'hui, l'Agence fédérale américaine de cybersécurité et de sécurité des infrastructures (CISA) s'appuie sur ces travaux pour élaborer une nouvelle feuille de route dédiée à la protection des logiciels open source (OSS) .
« La CISA reconnaît les énormes avantages des logiciels open source, qui permettent aux développeurs de logiciels de travailler plus rapidement et favorisent une innovation et une collaboration significatives. En gardant ces avantages à l'esprit, cette feuille de route décrit comment la CISA contribuera à sécuriser l'utilisation et le développement des logiciels libres au sein et à l'extérieur du gouvernement fédéral. .»
Selon l'introduction, la feuille de route définit deux principaux types de vulnérabilités open source. Le premier concerne les répercussions des vulnérabilités des logiciels open source largement utilisés. Il utilise Log4Shell comme exemple pour illustrer les vastes conséquences qui peuvent survenir si un logiciel open source est compromis. Le deuxième concerne les attaques de la chaîne d'approvisionnement contre les référentiels open source, qui peuvent entraîner des impacts négatifs en aval, tels que la compromission des comptes des développeurs et l'utilisation de ces comptes par des attaquants pour soumettre du code malveillant.
La feuille de route décrit quatre priorités clés, notamment : établir le rôle de CISA dans le soutien de la sécurité des logiciels open source, améliorer la visibilité de l'utilisation et des risques de l'open source, réduire les risques pour le gouvernement fédéral et renforcer l'écosystème open source au sens large.
Selon CISA, cela contribuera à réaliser sa vision du logiciel open source, selon laquelle « chaque projet OSS critique est non seulement sécurisé, mais durable et résilient, et soutenu par un soutien communautaire sain, diversifié et dynamique ».
Dan Lorenc, co-fondateur et PDG de la société de sécurité de la chaîne d'approvisionnement Chainguard , estime que CISA fait du bon travail en segmentant les problèmes dans ce domaine, puis en les hiérarchisant. Ils sont bien conscients que le travail doit être effectué « en amont, avec le personnel de CISA s'engageant directement auprès des communautés », bien qu'il reste sceptique quant à la manière exacte dont ce travail se déroulera.
Lorenc a suggéré que le gouvernement fasse des efforts pour financer réellement des projets open source, mais la feuille de route actuelle n'en fait aucune mention.
"Le gouvernement n'a pas une grande réputation en matière d'aide directe avec du code ou d'autres contributions, mais il a la capacité d'aider à financer le travail déjà en cours pour mettre en œuvre de nombreux projets de la feuille de route, tels que la sécurité de la mémoire, les corrections de bugs, et les outils SBOM. Mais le modèle de coopération gouvernementale ici ne peut pas adopter une approche « vous poussez, nous dirigerons ».
Consultez la feuille de route complète .