Au sein de la Fondation Linux, chaque communauté aborde les aspects de la sécurité d’un point de vue différent et contribue à un objectif commun : tendre vers un écosystème logiciel plus sûr. Comment ça marche, exactement ? Réponse avec quatre projets distincts : Open Source Security Foundation (OpenSSF), FINOS Common Cloud Controls Project, OpenChain et SPDX.
Dans un article destiné à sensibiliser à la sécurité des projets open source, Ashwin Ramaswami braque le projecteur sur les efforts de la Fondation Linux en matière de sécurité au sein de plusieurs projets. Il rappelle ainsi la politique de divulgation des vulnérabilités pour les projets hébergés par la Fondation Linux via une page web transparente.
Projet OpenChain
OpenChain est un projet de la Fondation Linux qui développe et maintient des normes internationales sur les exigences clés pour les programmes de conformité de licence open source. Le projet dispose d’une vaste communauté mondiale de plus de 1 000 entreprises qui travaillent à l’amélioration de la sécurité et de la résilience de nos chaînes d’approvisionnement en logiciels.
OSPO, l’arme du secteur financier pour passer à l’Open Source
En décembre 2023, la norme ISO/IEC 18974:2023 du projet OpenChain a été publiée en tant que norme ISO officielle. En adoptant cette norme, les organisations peuvent mieux vérifier les logiciels open source pour les questions de vulnérabilité de sécurité telles que les CVE, les alertes de dépendance GitHub et les alertes de gestionnaire de paquets.
OpenSSF
L’Open Source Security Foundation (OpenSSF) est une organisation hébergée par la Linux Foundation qui cherche à faciliter la sécurisation durable du développement, de la maintenance et de la consommation des logiciels open source (OSS).
En 2023, l’OpenSSF comptait plus de 22 000 développeurs de logiciels inscrits. L’entité s’est engagée auprès du secteur public, comme lors du Secure Open Source Software Summit en septembre dernier pour collaborer à la sécurisation des infrastructures critiques.
Projet FINOS
Nous vous en parlions dans cet article. Le FINOS Common Cloud Controls (FINOS CCC) est un projet de norme ouverte pour des déploiements de cloud public conformes dans le secteur des services financiers.
Le 1er novembre 2023, FINOS CCC a été présenté à l’Open Source in Finance Forum (OSFF) à New York. Son approche comprend une taxonomie commune des services, des contrôles tenant compte des menaces et des évaluations automatisées à l’aide de l’Open Security Controls Assessment Language (OSCAL).
Son arme ? OSCAL, un cadre lisible par machine qui permet de représenter les informations relatives aux contrôles de sécurité et qui est développé en collaboration avec le NIST.
Projet SPDX
SPDX est une norme ouverte qui décrit les nomenclatures logicielles (SBOM), c’est-à-dire la liste des composants d’un logiciel. En tant que format commun, SPDX réduit le travail redondant lié au partage de données de publication importantes et rationalise ainsi la distribution et la conformité.
En 2023, les travaux se sont poursuivis en vue du lancement de SPDX 3.0. Une version candidate de SPDX 3.0 a été annoncée en mai. Cette nouvelle version permet d’étendre la norme SPDX à de nouveaux cas d’utilisation en matière de sécurité et d’améliorer la traçabilité de la provenance de l’IA et des données. Le modèle SPDX 3.0 est accessible sur GitHub.
