La cybersécurité reste un sujet brûlant. De plus en plus d'organisations sont touchées par des attaques de ransomwares, les vulnérabilités critiques des logiciels open source font l'actualité et nous voyons des industries et des gouvernements se réunir pour discuter d'initiatives visant à améliorer la sécurité des logiciels.
Le gouvernement américain a travaillé avec l'industrie technologique et des organisations open source comme la Linux Foundation et l'Open Source Security Foundation pour introduire un certain nombre d'initiatives ces dernières années.
les Décret exécutif de la Maison Blanche sur l'amélioration de la cybersécurité de la nation il a certainement lancé des initiatives ultérieures et défini des exigences pour que les agences gouvernementales agissent sur la sécurité des logiciels, et la sécurité open source en particulier. un important Rencontre à la Maison Blanche avec des leaders de l'industrie technologique ils ont produit des groupes de travail actifs, et quelques semaines plus tard, ils ont publié le Plan de mobilisation de la sécurité des logiciels open source. Ce plan comprenait 10 budgets et workflows conçus pour traiter les domaines de sécurité hautement prioritaires dans les logiciels open source, de la formation et des signatures numériques aux revues de code pour les grands projets open source et l'émission d'un BOM.logiciel (SBOM).
La loi aborde directement les trois principaux domaines d'intérêt pour l'amélioration de la sécurité open source : détection et divulgation des vulnérabilités, SBOM et OSPO.
Une initiative récente du gouvernement concernant la sécurité open source est la Loi sur la sécurité des logiciels libres, législation bipartite par les sénateurs américains Gary Peters, D-Michigan, et Rob Portman, R-Ohio. Les sénateurs Peters et le sénateur Portman sont respectivement présidents et membres du Comité sénatorial de la sécurité intérieure et des affaires gouvernementales. Ils étaient dans le Log4j Audiences du Sénat et cette législation a ensuite été introduite pour améliorer la sécurité open source et les meilleures pratiques au sein du gouvernement en établissant les fonctions du directeur de la Cybersecurity and Infrastructure Security Agency (CISA).
Il s'agit d'un tournant dans le droit américain car, pour la première fois, il est spécifique à la sécurité des logiciels open source. La législation reconnaît l'importance des logiciels open source et reconnaît qu '"un écosystème de logiciels open source sûr, sain, dynamique et résilient est essentiel pour assurer la sécurité nationale et la vitalité économique des États-Unis". Enfin, il stipule que le gouvernement fédéral devrait jouer un rôle de soutien pour assurer la sécurité à long terme des logiciels open source.
L'Open Source Software Security Act définit les tâches du directeur de la CISA et promeut la sensibilisation et l'engagement avec la communauté open source pour améliorer la sécurité à long terme des logiciels open source. Cela nécessite une collaboration avec les entités gouvernementales fédérales, étatiques et locales, ainsi qu'avec le secteur privé et les organisations open source, pour des tâches telles que la divulgation des vulnérabilités.
La loi met l'accent sur l'évaluation des composants critiques des logiciels open source et, pour cela, exige la promulgation d'un cadre d'évaluation du risque des composants logiciels. Le cadre fournira des orientations sur :
- Identification des composants open source.
- Assurer les processus du cycle de vie du développement logiciel.
- Création de SBOM qui fournissent un inventaire des composants, des versions et des vulnérabilités.
En outre, le cadre nécessitera des informations sur les communautés de composants open source et le risque d'exploitation.
Cette évaluation basée sur un cadre sera mise en œuvre au niveau fédéral et les SBOM devront indiquer les niveaux de risque prioritaires. Il sera mis en œuvre pour sécuriser les infrastructures critiques, en commençant par un pilote dont les résultats seront présentés par le directeur du CISA aux commissions du Congrès puis au public.
La dernière section de la loi définit les directives pour les directeurs de l'information (CIO) des agences gouvernementales, qui stipulent qu'elles doivent être basées sur les meilleures pratiques open source pour « gérer et réduire les risques liés à l'utilisation de logiciels open source ; et des conseils pour contribuer et publier des logiciels open source. Ces meilleures pratiques sont liées à une tendance mondiale croissante des organisations à établir de plus en plus de bureaux de programme open source (OSPO) pour favoriser l'utilisation pratique et stratégique du code open source.
À l'instar des bureaux de sécurité dirigés par des RSSI, les OSPO sont de plus en plus adoptés par des organisations qui consomment et contribuent à des logiciels open source. En commençant par un programme pilote inspiré de l'OSPO dans le secteur privé, l'objectif est de développer des politiques et des processus pour les contributions gouvernementales et les versions de logiciels open source. OSPO collaborera avec les communautés open source et définira des processus pour renforcer la posture de sécurité des logiciels open source dans leur ensemble.
La loi aborde directement les trois principaux domaines d'intérêt pour l'amélioration de la sécurité open source : détection et divulgation des vulnérabilités, SBOM et OSPO. Il est très prometteur de voir ces initiatives au niveau gouvernemental. Bien que la loi n'inclue pas de mandat pour le secteur privé, les organisations de tous les secteurs doivent prêter attention à la sécurité open source par le biais d'outils et de meilleures pratiques, notamment SBOM et OSPO.
Bien que la législation proposée devra être adoptée par le Sénat et la Chambre des représentants, et recevoir la signature du président, ce sont des étapes solides pour améliorer la sécurité open source et notre cybersécurité globale.
