Les logiciels libres de droits et à code source ouvert constituent également la base des applications critiques et commerciales. Derrière ces projets, il y a souvent un nombre restreint de mainteneurs bénévoles – parfois, tout dépend d’une seule personne qui, par exemple, gère seule et gratuitement une bibliothèque fréquemment utilisée. Les dépendances vis-à-vis de ces modules gratuits peuvent être critiques, ce qui augmente le risque de failles de sécurité ou d’effets domino dans la chaîne d’approvisionnement.

Parmi les exemples concrets récents, on peut citer la découverte en 2021 d’une faille de sécurité dans la bibliothèque gratuite d’applications Java Log4j, ainsi qu’une bibliothèque mal licenciée puis retirée de la bibliothèque Ruby. mimemagicdont la disparition a déclenché une réaction en chaîne : un demi-million de projets open source ont été touchés par la panne de l’année précédente.

Reconnaître les dépendances des composants FOSS et agir en amont

La Linux Foundation, en collaboration avec un département de recherche de la Harvard Business School, a publié Census II, un rapport sur la distribution des logiciels open source disponibles sans licence, en mettant l’accent sur les bibliothèques d’applications. La version finale de l’enquête répertorie plus de 1000 bibliothèques open source largement utilisées dans des applications commerciales et professionnelles. Le projet Census a été mené pour la première fois en 2015, il était alors centré sur la sécurité des serveurs Linux avec le système d’exploitation Debian.

Selon les éditeurs, la nouvelle édition du rapport doit permettre de savoir quels sont les paquets, composants et projets open source librement disponibles dont la sécurité ne doit pas seulement être vérifiée, mais pour lesquels il est concrètement nécessaire d’agir. Census II fournit sur environ 170 pages avec des annexes complètes un aperçu des projets open source concernés et complète le rapport provisoire sur les vulnérabilités publié précédemment « Vulnerabilities in the Core – A Preliminary Report and Census II of Open Source Software ». Census II reprend là où Census I s’était arrêté : les logiciels FOSS (Free and Open Source) les plus répandus dans le domaine privé et public.

Census II : ce qui peut améliorer la sécurité

Cinq enseignements principaux peuvent être tirés du rapport Census II :

1. Des schémas standardisés de désignation des composants logiciels pour une identification univoque des bibliothèques d’applications sont nécessaires à l’avenir.
2. Les paquets versionnés posent des défis particuliers aux développeurs : Le rapport fait référence au Software Bill of Materials (SBoM), qui guide le versionnement cohérent du Main Repository public. Il est ainsi possible de remonter à une branche principale sans aucun doute.
3. La plupart des projets FOSS les plus courants sont développés par un nombre limité de contributeurs. Selon le Census II, seuls 136 développeurs sont responsables de plus de 80% des lignes de code des 50 premiers paquets.
4. Les développeurs devraient sécuriser leurs comptes de développeurs à l’aide de jetons MFA ou, selon les recommandations des éditeurs, plutôt à partir de comptes officiels d’entreprises, probablement pour éviter que les projets ne deviennent orphelins.
5. Les logiciels hérités, c’est-à-dire les versions obsolètes de paquets pour lesquelles il existe déjà des mises à jour, sont toujours un sujet important dans le domaine de l’open source (mot-clé : log4j).

Étant donné que les paquets open source utilisés gratuitement sont souvent fondamentaux pour le succès économique de ceux qui les intègrent dans leurs logiciels, les participants à l’étude, comme le professeur assistant Frank Nagle (Harvard Business School), plaident pour des investissements coordonnés et ciblés dans l’écosystème FOSS afin de préserver les composants critiques pour l’économie numérique à long terme et pour les générations futures. La transparence et une meilleure visibilité sur la composition des logiciels sont nécessaires, souligne le PDG de la FOSSA, Kevin Wang, en faisant remarquer que les menaces qui pèsent sur la chaîne d’approvisionnement peuvent également être traitées de manière plus préventive.

Qui se cache derrière Census II et téléchargement du rapport

Pour Census II, la Linux Foundation et le Lab for Innovation Science de l’université de Harvard ont collaboré avec les spécialistes de la sécurité de Snyk et le centre de recherche en cybersécurité (CyRC) Synopsys et FOSSA. Ensemble, ils ont scanné la base de code source de milliers d’entreprises et ont découvert quels paquets FOSS étaient le plus souvent utilisés en production. Le directeur exécutif de l’Open Source Security Foundation (OpenSSF) a souligné dans le billet de blog de l’organisation mère, la Linux Foundation, que les informations obtenues servent à identifier les projets critiques pour lesquels il est urgent d’agir du point de vue de la sécurité.

Selon lui, les applications commerciales des banques, des écoles et des lieux de travail reposent essentiellement sur des logiciels open source, et les données de Census II devraient aider à protéger cette infrastructure critique. Le rapport Census II peut être téléchargé dès maintenant sur le site web de la Linux Foundation.