Suite aux retombées de la vulnérabilité Log4j récemment révélée, la Maison Blanche rencontrera des géants américains de la technologie pour discuter de la sécurité des logiciels open source.
Outre Apple, Google, Amazon, Meta, IBM et Microsoft, l’Apache Software Foundation qui possède et gère la bibliothèque Log4j, Oracle, GitHub et la Linux Open Source Foundation participeront également à la réunion avec l’administration Biden.
Les dirigeants de toutes les entreprises technologiques participant à la réunion rencontreront également des représentants d’un certain nombre d’agences gouvernementales américaines, notamment le département du commerce, le département de la défense, le département de l’énergie et la sécurité intérieure. Cependant, d’autres agences telles que la Cybersecurity and Infrastructure Security Agency (CISA), l’Institut national des normes et de la technologie et la National Science Foundation participeront également à la réunion.
Dans un courriel à Tech Radar Pro, responsable de la sécurité chez GitHub, Mike Hanely a expliqué à quel point les logiciels open source sont importants pour les logiciels commerciaux et les services en ligne que nous utilisons au quotidien :
« Les logiciels open source sous-tendent la grande majorité des logiciels que nous utilisons tous quotidiennement – une ou deux lignes de code vulnérable seulement peuvent avoir un effet d’entraînement mondial sur les milliards de développeurs et de services qui en dépendent. En tant que plus grande plateforme de développement au monde, GitHub prend ces risques au sérieux et comprend sa responsabilité d’aider les millions de développeurs de notre plateforme à sécuriser l’open source. Aborder la sécurité de la chaîne d’approvisionnement des logiciels est un sport d’équipe. Grâce à des partenariats avec des gouvernements, des universités, des développeurs et d’autres organisations, nous pouvons ensemble avoir un impact significatif sur l’avenir de la sécurité logicielle, et la discussion d’aujourd’hui est une étape importante pour sécuriser ensemble le code mondial.
Sommaire
Une préoccupation majeure en matière de sécurité nationale
En décembre de l’année dernière, le conseiller à la sécurité nationale de la Maison Blanche, Jake Sullivan, a envoyé une lettre aux PDG des entreprises technologiques américaines suite à la découverte de la vulnérabilité Log4Shell dans le framework de journalisation Java populaire d’Apache, Log4j.
Dans sa lettre, Sullivan a déclaré que la sécurité des logiciels open source est une « préoccupation clé pour la sécurité nationale » car ils sont largement utilisés et entretenus par des bénévoles. En tant que telles, les vulnérabilités des logiciels open source peuvent affecter de nombreux autres produits et projets, comme le démontre la faille Heartbleed de 2014 dans OpenSSL qui, à l’époque, était censée être utilisée dans deux serveurs sur trois.
Plus récemment, un développeur mécontent a supprimé des milliers de projets open source en corrompant deux bibliothèques open source largement utilisées sur GitHub. Le développeur a cité le fait qu’il ne veut plus créer de code gratuit pour les entreprises commerciales faisant des millions comme raison de ses actions.
Nous en entendrons probablement davantage de chacune des entreprises individuelles qui ont assisté à la réunion dans les jours suivants ainsi que de la Maison Blanche sur ses plans pour améliorer la sécurité des projets et logiciels open source.
Nous avons également arrondi les meilleur pare-feu, meilleur logiciel de protection des terminaux et meilleur logiciel de suppression de malware
Par le bord
