AccueilActualités informatiqueLa Fondation Linux s'attaque à la protection de la chaîne d'approvisionnement des...

La Fondation Linux s’attaque à la protection de la chaîne d’approvisionnement des logiciels

Lors du Linux Foundation Membership Summit, l’organisation open source a annoncé de nouvelles fonctions pour ses outils LFX. Le module LFX Security sera utilisé à l’avenir pour protéger l’ensemble de la chaîne d’approvisionnement en logiciels dans les projets open source, de la détection des vulnérabilités connues et des données sensibles dans le code à la mise en conformité avec un langage plus inclusif.

Sommaire

LFX Security est une initiative conjointe de la Fondation Linux (LF) et de Snyk, un fournisseur spécialisé dans le développement d’applications sécurisées. L’outil est principalement destiné à aider les développeurs de logiciels libres à fournir un code plus sûr. Alors que Snyk fournit son moteur dorsal pour les analyses de vulnérabilité avec l’outil disponible gratuitement, LF apporte les données de sécurité collectées à partir des projets et des écosystèmes qu’il gère et les place dans le contexte approprié.

La version maintenant mise à jour de LFX Security offre, entre autres, des capacités améliorées pour l’analyse des vulnérabilités dans les composants et dépendances open source. L’outil fournit des recommandations pour traiter les problèmes détectés ou énumère les mesures appropriées pour éliminer les vulnérabilités connues. Cela permet aux développeurs d’identifier et de corriger le plus tôt possible les problèmes qui surviennent au début de leur chaîne d’approvisionnement en logiciels.

LFX Security permet également de protéger les données sensibles que les pirates pourraient utiliser pour accéder aux référentiels et autres ressources de codage importantes. Par exemple, une technique fournie par BluBracket détecte les mots de passe, les informations d’identification, les clés et les jetons d’accès dans le code, permettant aux équipes de développement de se concentrer sur la protection de ces données sensibles.

Une autre nouvelle fonctionnalité de l’outil de sécurité de LF, qui remonte également à BluBracket et a été développée en coopération avec l’Inclusive Naming Initiative, est destinée à promouvoir les efforts de la communauté pour utiliser un langage moins excluant dans les projets open source. LFX Security détecte des termes tels que master/slave, whitelist/blacklist ou abort/abortion qui doivent être supprimés du code ou remplacés immédiatement.

De plus amples informations sur LFX Security peuvent être trouvées dans l’article du blog de la Fondation Linux. L’outil est disponible gratuitement dans le cadre des initiatives OpenSSF via le site web de l’organisation.

Plus d'articles