Google soutient un nouveau projet de la Fondation Linux à hauteur d’un million de dollars, qui vise à renforcer la sécurité des projets open source critiques.
Plutôt qu’un bug bounty, le dernier investissement de Google – qui s’inscrit dans le cadre de son engagement récent dans un projet global de 10 milliards de dollars en faveur de la cybersécurité aux Etats-Unis – vise à résoudre les problèmes de sécurité potentiels avant qu’ils ne deviennent des bugs, en améliorant la sécurité des logiciels contre les attaques.
Baptisé Secure Open Source (SOS), le programme pilote géré par la Fondation Linux « récompense financièrement les développeurs qui améliorent la sécurité des projets open source critiques ».
Les récompenses vont de « 10 000 dollars ou plus » pour le renforcement des logiciels de manière à éviter les bogues majeurs, à 505 dollars pour les « petites améliorations », selon Google. Des récompenses de 5 000 à 10 000 dollars sont disponibles pour des « améliorations modérément complexes qui offrent des avantages convaincants en matière de sécurité », tandis que des récompenses de 1 000 à 5 000 dollars sont prévues pour les solutions qui présentent « une complexité et un impact modestes ».
Les retours d’expérience de SolarWinds et NotPetya
« Nous commençons par un investissement d’un million de dollars et prévoyons d’étendre la portée du programme en fonction des réactions de la communauté », indiquent les membres de l’équipe de sécurité open source de Google.
Le programme vise à soutenir les projets qui renforcent de manière proactive les projets open source critiques et les infrastructures de support contre les attaques des applications et de la chaîne d’approvisionnement.
Les chaînes d’approvisionnement en logiciels ont fait l’objet d’une attention particulière après la cyberattaque soutenue par le Kremlin contre des agences gouvernementales et des entreprises technologiques américaines, via une mise à jour empoisonnée de la société de logiciels d’entreprise SolarWinds.
SolarWinds n’était pas la première attaque contre la chaîne d’approvisionnement (dite aussi « supply chain) ». NotPetya, l’attaque par ransomware de 2017, qui a également été attribuée à des pirates soutenus par le Kremlin, en est un autre exemple.
Pourquoi ce n’est pas un bug bounty
Le groupe de réflexion européen sur la cybersécurité, l’ENISA, s’inquiète également des attaques de la chaîne d’approvisionnement de logiciels, et exhorte les organisations à vérifier et à documenter les fournisseurs de logiciels, et à définir leurs risques.
Les logiciels libres présentent un autre défi que Google tente de relever par le biais de SOS : le manque de financement des projets logiciels qui sont en grande partie gérés sur une base volontaire. En d’autres termes, ces projets ont besoin d’argent pour assurer la sécurité. « Le programme SOS s’inscrit dans le cadre d’un effort plus large visant à répondre à une vérité croissante : le monde s’appuie sur les logiciels libres, mais un soutien généralisé et des contributions financières sont nécessaires pour que ces logiciels restent sûrs et sécurisés », note Google.
« Nous envisageons le programme pilote SOS comme le point de départ d’efforts futurs qui, nous l’espérons, rassembleront d’autres grandes organisations et en feront une initiative durable et à long terme dans le cadre de l’OpenSSF », ajoute-t-il.
Google et l’OpenSSF – ou Open Source Security Foundation – ont soutenu cet objectif au début de l’année en lançant les fiches de sécurité de l’OpenSSF, qui vérifient automatiquement les logiciels. Par le biais d’un score de risque, cette initiative vise à réduire le coût de la création d’un logiciel sécurisé et à le placer en tête de liste des priorités, en aidant les développeurs à évaluer la sécurité lorsqu’ils changent de paquet dans la chaîne d’approvisionnement d’un projet.
Les nouvelles récompenses sont liées à cette scorecard et au framework SLSA (Supply chain Levels for Software Artifacts) de Google. Toutes les nouvelles demandes de récompenses SOS seront évaluées par la Fondation Linux et l’équipe Google Open Source Security Team (GOSST). L’équipe du projet souligne toutefois qu’il ne s’agit pas d’un bug bounty. « Il ne s’agit pas d’un programme de bug bounty et il ne récompense pas les rapports de vulnérabilités spécifiques à un projet. Toute vulnérabilité découverte dans un projet doit être signalée conformément à la politique de divulgation de la sécurité du projet, et non par le biais de ce programme », peut-on lire sur la page SOS.
Source : ZDNet.com
