La fondation Linux et le Harvard Lab for Innovation Science recensent les vulnérabilités affectant les logiciels libres

Linux Foundation CII Census II

Une récente analyse publiée sous la houlette de la Core Infrastructure Initiative (*) de la Linux Foundation et du Laboratory for Innovation Science de Harvard (LISH) identifie les vulnérabilités critiques les plus exploitées au sein des logiciels open source utilisés notamment dans les infrastructures critiques. ...Intitulé Vulnerabilities in the Core, a Preliminary Report and Census II of Open Source Software, ce rapport se veut une contribution à la maîtrise des complexités structurelles et de la sécurité des chaînes d'approvisionnement logicielles où l'open source est omniprésent. Le document identifie notamment les composants logiciels open source les plus couramment utilisés dans les applications de production et les examine pour détecter leurs vulnérabilités potentielles. Objectif : éclairer les actions visant à maintenir la sécurité et la santé à long terme des logiciels libres. Un projet qui vise aussi à soutenir les meilleures pratiques et la sécurité des logiciels open source critiques,

Le précédent document publié 2015 (Census I) avait par exemple identifié au sein de la distribution Debian Linux des problèmes critiques vis-à-vis du fonctionnement et de la sécurité du noyau Linux.

« Le rapport Census II répond à certaines des questions les plus importantes auxquelles nous sommes confrontés alors que nous essayons de comprendre la complexité et l'interdépendance des logiciels et composants open source dans la chaîne d'approvisionnement mondiale, précise Jim Zemlin, directeur exécutif de la Linux Foundation. Le rapport, qui fournit un inventaire des logiciels partagés les plus importants et des vulnérabilités potentielles associées, est la première étape pour mieux comprendre des projets complexes afin que nous puissions créer des outils et des normes qui se traduisent par la confiance et la transparence dans les logiciels. »

Avec l’appui de la méthodologie dite d’analyse de la composition logicielle (SCA, Software Composition Analysis), un processus d'automatisation de la visibilité sur les logiciels open source (code source, fichiers binaires, dépendances…) à des fins de gestion des risques, de sécurité et de conformité des licences, la Linux Foundation et Harvard ont pu combiner des données privées avec des ensembles de données accessibles au public pour identifier plus de 200 des projets de logiciels open source les plus utilisés, dont 20 sont détaillés dans les résultats du rapport. Le travail a été effectué en collaboration avec les sociétés Snyk et Synopsys Cybersecurity Research Center.

« Les logiciels libres sont devenus une composante intégrante de l'économie moderne et constituent un élément fondamental des technologies de tous les jours comme les téléphones intelligents, les voitures, l'Internet des objets, etc., commente Frank Nagle, professeur à la Harvard Business Shool et co-auteur du rapport Census II. Comprendre quels composants sont les plus largement utilisés et les plus vulnérables nous permettra de contribuer à assurer la santé de l'écosystème de l'économie numérique. »

Les logiciels libres constituant aujourd’hui de 80 à 90% de tous les logiciels circulant dans le monde, il est plus important que jamais de comprendre quels logiciels libres sont les plus utilisés et où ils pourraient être vulnérables aux attaques. Cette tendance a en particulier été soulignée par les Agences du gouvernement américain qui demandent des informations plus approfondies sur les éléments constitutifs du logiciel qui composent divers packages et équipements via une nomenclature logicielle (SBOM, Software Bill of Materials).

(*) L'importance croissante des logiciels libres dans toute l'économie est devenue d'une importance critique en 2014 lorsque le bogue de sécurité Heartbleed dans la bibliothèque de cryptographie OpenSSL a été découvert. Selon certaines estimations, ce bogue a touché près de 20%, soit un demi-million, de serveurs Web sécurisés sur Internet. Ce fut l'impulsion à la création de la Core Infrastructure Initiative, qui a levé plusieurs millions de dollars pour la sécurité open source au cours des six dernières années.