Deux nouveaux rapports de recherche de la Linux Foundation mettent en lumière les meilleures pratiques ainsi que les lacunes en matière de conformité au Cyber Resilience Act (CRA) dans le domaine de l’open source. Ces études, réalisées en collaboration avec l’Open Source Security Foundation (OpenSSF) et Linux Foundation Europe (LF Europe), sont disponibles gratuitement et apportent un éclairage précieux sur les défis et solutions liés à la sécurité logicielle open source.
Le premier rapport, intitulé « Pathways to Cybersecurity Best Practices in Open Source », analyse comment trois projets phares de la Linux Foundation — Civil Infrastructure Platform (CIP), Yocto Project et Zephyr Project — répondent aux exigences minimales du CRA. Cette analyse approfondie présente les meilleures pratiques adoptées par ces projets pour atteindre la conformité, ainsi qu’un ensemble de ressources utiles pour aider les autres acteurs de l’open source à mieux appréhender et se conformer au CRA.
Gabriele Columbro, directeur général de Linux Foundation Europe, souligne que répondre aux exigences du CRA nécessite une approche stratégique respectueuse des principes fondamentaux du développement open source. « Ce rapport confirme notre engagement à fournir des conseils pratiques aux fabricants, leaders industriels et communautés open source en Europe et à travers le monde », explique-t-il.
Le second rapport, « Unaware and Uncertain », révèle quant à lui un manque inquiétant de sensibilisation et de préparation face au CRA dans l’écosystème open source. D’après les résultats de l’enquête menée, une majorité des répondants ne connaissent pas suffisamment le CRA, ignorent les échéances de conformité, et méconnaissent les sanctions en cas de non-respect. Les fabricants, principaux responsables de la conformité, se montrent passifs face à la sécurité logicielle, s’appuyant largement sur des corrections provenant de projets en amont. Peu d’entre eux génèrent des Software Bills of Materials (SBOMs), pourtant essentiels.
Steve Fernandez, directeur général de l’OpenSSF, précise : « Assurer la sécurité de la chaîne d’approvisionnement logicielle est crucial pour maintenir la confiance dans l’open source. Ce rapport met en avant les lacunes de connaissances et propose des stratégies clés pour aider les organisations à se conformer aux obligations réglementaires du CRA, tout en préservant la nature collaborative de l’open source. »
Les rapports complets sont accessibles ici :
