|
| |
|
|
| Sommaire Sécurité |
 |
| Le libre s'organise pour la correction des failles |
| Un an après son lancement, le programme américain d'audit et de correction des failles s'étend à 150 logiciels libres. Une initiative qui a déjà permis de corriger 6 000 bugs et traduit la réactivité de l'Open Source.
(29/03/2007) |
|
Dans le cadre d'un programme de 3 ans baptisé Open Source Hardening Project, le Département de la sécurité nationale américain (DHS) avait attribué un budget de 1,24 millions de dollars à l'université de Stanford, Coverity et Symantec pour contribuer au renforcement de la qualité et de la sécurité des logiciels libres.
Inauguré en janvier 2006, le programme vient d'être étendu à 150 projets Open Source, contre 50 auparavant. Coverity fournit ainsi ses technologies d'automatisation de l'analyse du code source afin d'identifier les vulnérabilités les plus critiques des logiciels libres audités. Depuis 2006, ce sont ainsi 6 000 bugs, 16 par jour en moyenne, qui ont été détectés et corrigés.
700 développeurs, après enregistrement, participent à l'analyse des failles et surtout à leur correction sur des projets Open Source réputés comme Apache, Firefox, Gnome, Linux, ou plus confidentiels (NSS, SoX, Net-SNMP
). Ce sont désormais 35 millions de lignes de codes qui vont être soumises aux contributeurs afin d'accroître la robustesse des applications.
Cette initiative contribue non seulement à la qualité des développements Open Source, mais aussi à celle des logiciels y recourant en tant que composants. Zlib, un programme de compression, est ainsi employé dans plus de 500 logiciels dont MSN Messenger, Office, QuickTime et Apache. FreeRadius, pour l'authentification sécurisée, est quant à lui utilisé par 100 millions de personnes, sur Internet ou sur des réseaux d'entreprise.
| Zlib, programme libre utilisé dans plus de 500 logiciels. |
L'éligibilité des développeurs, afin notamment de parer à toute divulgation publique et non-contrôlée de vulnérabilités, est soumise à conditions. Il leur faut ainsi être fortement impliqué auprès d'une association à but non lucratif. Le programme mené par Coverity prône en outre la divulgation responsable, c'est-à-dire qu'une information publique n'est faite qu'après correction, et passé un délai jugé suffisant.
Le programme soutenu par le DHS traduit l'importance prise par les logiciels Open Source. Mais pour voir son rôle croître encore, notamment au sein des entreprises et des administrations, le libre doit veiller à la qualité de son code source et à la correction des vulnérabilités. Il bénéficie pour cela d'un code ouvert, de l'appui de communautés et de sa réactivité face à la découverte de nouvelles failles. Des qualités qui font souvent défaut au monde propriétaire.
L'initiative prise par le Département de la sécurité nationale est également à rapprocher de celle du SANS Institute (lire la brève SANS Institute délivre une certification sécurité aux développeurs).
Toutes deux visent à améliorer la qualité des développements. Le DHS par l'analyse du code, le SANS de manière proactive en formant directement les développeurs à des méthodes de programmation sécurisée via une certification et des formations : sa GIAC Secure Software Programmer (GSSP) couvre ainsi les langages C/C++, Java/J2EE, Perl/PHP et .NET/ASP.
|
| |
| |
|
|
|
Dossier 
