Google s’est récemment engagé à verser 100 millions de dollars à des groupes qui gèrent les priorités en matière de sécurité des logiciels libres et aident à corriger les vulnérabilités. L’entreprise vient de donner des détails sur les huit projets qu’il a choisi de soutenir.
Le mois dernier, la Fondation Linux a annoncé qu’elle financerait directement des personnes travaillant sur la sécurité des projets open source. Elle a reçu le soutien de Google, de Microsoft, de l’Open Source Security Foundation et de la Fondation Linux pour la santé publique. La Fondation Linux coordonne les corrections lorsque des bugs sont découverts.
La fondation et ses pairs recherchent des problèmes de sécurité inconnus jusqu’à présent par le biais d’audits de sécurité qui seront entrepris par l’Open Source Technology Improvement Fund (OSTIF). Ces projets comprennent deux audits de sécurité du noyau Linux. Google a également apporté son soutien à une partie des projets d’audit immédiats de l’OSTIF.
Git, Lodash, Laravel, SLF4J, Jackson-core, etc.
« Le soutien de Google permettra à l’OSTIF de lancer le Managed Audit Program (MAP), qui étendra les examens de sécurité approfondis à des projets critiques et vitaux pour l’écosystème open source », explique Kaylin Trychon, responsable des communications de sécurité au sein de l’équipe de sécurité open source de Google.
Le plus important des huit projets d’audit financés par Google est probablement Git, le logiciel de contrôle de version « de facto » créé par le créateur du noyau Linux, Linus Torvalds, et qui constitue la base de plateformes telles que GitHub et GitLab. « Git est la deuxième application la plus critique en C, et la dixième application la plus critique toutes plateformes confondues », note l’OSTIF, ajoutant qu’il s’agit « sans aucun doute de l’un des logiciels libres les plus critiques au monde ».
Les autres sont d’importants outils et frameworks JavaScript et Java pour le développement web, notamment : Lodash, une bibliothèque JavaScript utilitaire pour le développement web, utilisée dans Chrome et d’autres navigateurs ; Laravel, un framework d’application web php ; SLF4J Simple Logging Facade pour Java ; le Jackson-core JSON pour Java et le paquet Jackson-databind ; et Httpcomponents-core et Httpcomponents-client.
« Les huit bibliothèques, framework et applications sélectionnés sont ceux qui bénéficieraient le plus d’améliorations en matière de sécurité et qui auraient le plus grand impact sur l’écosystème open-source qui repose sur eux », indique Kaylin Trychon. La contribution de Google aidera l’OSTIF à trouver et à corriger les vulnérabilités dans les principaux projets open source.
L’OSTIF a identifié un total de 25 projets MAP destinés à être financés, dont les huit financés par Google à ce jour. Parmi les autres projets en attente de financement figurent des systèmes et outils bien connus utilisés par les développeurs, tels que les systèmes de gestion de contenu web Drupal et Joomla, webpack, reprepro, ceph, React Native maintenu par Facebook, salt, Gatsby, Angular maintenu par Google, Ansible de Red Hat et le framework Java Guava de Google.
Source : ZDNet.com
