150 millions de dollars pour sécuriser la supply chain logicielle
La Linux Foundation et l'Open Source Software Security Foundation ont récemment dévoilé un plan d'investissement de 150 millions de dollars sur deux ans, dans l’objectif de mieux sécuriser la chaîne d'approvisionnement logicielle. Le plan se décline en trois axes principaux.
Les vulnérabilités de la supply chain logicielle accaparent toujours plus l’attention des CISO. Les CIO ont aujourd’hui également bien conscience du danger que représente la chaîne d'approvisionnement logicielle, vecteur d’attaques qui ont marqué les esprits ces derniers mois (SolarWinds, Kaseya, Codecov…). L'urgence de trouver une solution à cette menace globale était récemment au coeur des discussions lors du second sommet sur la sécurité des logiciels libres (Open Source Software Security Summit II), une initiative de la Linux Foundation et l'Open Source Software Security Foundation (OpenSSF). Cette dernière réunit des acteurs de premier plan du monde de la tech, dont AWS, Atlassian, Cisco, Dell, Ericsson, GitHub, Google, Huawei, Intel, IBM, Meta, Microsoft, Oracle, Red Hat ou encore VMware.
Dans la perspective de s’attaquer à la problématique de la sécurité de supply chain logicielle, la Linux Foundation et l'OpenSSF ont dévoilé un plan lors du sommet. Celui-ci prévoit un financement d'environ 150 millions de dollars sur deux ans. Une première tranche de 30 millions de dollars sera fournie par Amazon, Ericsson, Google, Intel, Microsoft et VMWare.
Trois axes d'investissement
Le plan s'articule autour d’axes d'investissement déclinés en trois objectifs principaux. Il s’agit premièrement de sécuriser la production de logiciels libres, par le biais de sensibilisation/formation et en mettant en place de nouvelles certifications de base en matière de développement de logiciels sécurisés. Le plan prévoit aussi la publication publique d’un tableau de bord d'évaluation des risques, neutre vis-à-vis des fournisseurs et basé sur des mesures objectives, pour les 10’000 principaux composants (voire plus). Egalement au programme: tenter d’accélérer l'adoption des signatures numériques sur toutes les versions des composants et logiciels.
Deuxièmement, les acteurs de l’écosystème du logiciel devront s'engager à faire progresser la découverte et la correction des vulnérabilités. Le plan prévoit notamment sur ce point la création d'une équipe d’intervention chapeautée par l’OpenSSF afin de venir en aide aux responsables de la maintenance de projets open source. Il est en outre question de coordonner le partage des données à l'échelle de l'industrie pour améliorer l'identification des composants les plus critiques.
Le troisième objectif consiste à raccourcir le temps de réponse d'application des correctifs par tout l'écosystème. Notamment en œuvrant à promouvoir, chez les utilisateurs de composants open source, la réalisation d’un inventaire de tous les composants open source et tiers présents dans une base de code (le principe «Software Bill of Materials (SBOM) Everywhere». Il s’agira ici d’améliorer l'outillage et la formation SBOM pour favoriser l'adoption du procédé.
