Canonical, l’éditeur d’Ubuntu, vient d’annoncer le lancement de son tout nouveau programme Ubuntu Security Research Alliance (USRA). Ce partenariat libre réunit Canonical et des organismes de recherche en vulnérabilités open source. Quel est l’objectif de ce programme et en quoi est-il important ? Explications.
Ce programme, annoncé le 4 décembre 2024, entend s’inscrire dans une démarche collaborative, où les participants bénéficieront d’une visibilité accrue sur les efforts de Canonical pour sécuriser l’écosystème open source. Ces efforts visent à offrir un environnement plus sûr pour les utilisateurs d’Ubuntu tout en renforçant la confiance dans l’écosystème open source.
Ubuntu Security Research Alliance Program : c’est quoi ?
L’Ubuntu Security Research Alliance (USRA) est un programme conçu pour renforcer la sécurité des logiciels open source.
Accès à l’information
En collaboration avec les opérateurs de scanners de sécurité et d’autres acteurs du secteur, Canonical offre un accès à des informations précises sur les vulnérabilités et les correctifs disponibles pour tous les packages Ubuntu.
Les avantages
Les points forts de cette initiative :
- Réduction des faux positifs dans les scanners de sécurité, grâce à des rapports plus précis.
- Recommandations plus claires sur les étapes de correction des vulnérabilités (CVE).
- Accès anticipé pour les membres aux futurs outils et processus d’Ubuntu, permettant une adaptation proactive aux changements.
Rendre l’open source plus sûr
Le programme USRA renforce l’engagement de l’éditeur pour améliorer la sécurité globale des logiciels open source, ce qui passe notamment par une amélioration des scanners de sécurité : en facilitant l’intégration des produits de sécurité, Canonical garantit des rapports plus fiables et exploitables pour ses clients.
Parmi les récentes initiatives, on peut d’ailleurs citer un partenariat avec l’OpenSSF Vulnerability Disclosures Working Group : Canonical travaille à rendre ses Ubuntu Security Notices (USNs) compatibles avec le format OSV, une norme utilisée pour le suivi des vulnérabilités.
Comment s’inscrire
Les entreprises (éditeurs, fabricants) souhaitant rejoindre l’Ubuntu Security Research Alliance peuvent s’inscrire directement via le formulaire dédié sur le site Ubuntu.
