Google et l'OSTIF ont annoncé un partenariat pour améliorer la sécurité de huit projets open source.
Cette annonce intervient quelques semaines après un rendez-vous avec le Président Biden au sujet de la cybersécurité, lors duquel l'entreprise a promis d'investir 10 milliards de dollars en 5 ans dans le domaine.
Des projets choisis pour leur impact dans la communauté open source
Grâce au soutien de la Google Open Source Security Team, l'OSTIF (Open Source Technology Improvement Fund) a annoncé pouvoir lancer le Managed Audit Program (MAP) afin de pouvoir réaliser des audits de sécurité sur plusieurs projets open source vitaux pour la communauté. Huit projets en particulier ont été désignés comme ceux qui bénéficieraient le plus d'une sécurité améliorée.
- Git : Git est un logiciel de contrôle de versions extrêmement populaire et l'un des outils DevOps les plus reconnus. Il est également la base de deux autres outils très utilisés, GitHub et GitLab. C'est pour ça que l'OSTIF l'a identifié comme l'un des logiciels libres les plus importants au monde.
- Lodash : Lodash est une collection de fonctions utilitaires pour JavaScript. Malgré sa popularité, l'OSTIF souligne qu'elle est sujette aux vulnérabilités, sept rapportées depuis 2018. Elle est de plus assez mal notée par Scorecard, un projet qui note la sécurité des projets open source, avec une note de 50 %.
- Laravel : Laravel est un framework PHP utilisé pour créer des applications web. Tout comme Lodash, il est assez sujet aux vulnérabilités (neuf rapportées depuis 2017), et possède un score de sécurité assez bas d'après Scorecard, 58 %.
- Slf4j : Slf4j est une couche d'abstraction pour les API de journalisation Java. Le grand âge du projet et plusieurs vulnérabilités, dont une critique en 2018, en font un candidat idéal pour le MAP.
- Jackson-core et Jackson-databind : Jackson est un parser JSON pour Java. Tous deux identifiés comme les packages non-JavaScript les plus utilisés, ils possèdent cependant un score de sécurité plutôt bas (42 % et 58 %) et ont donc été sélectionnés par l'OSTIF.
- Httpcomponents-core & Httpcomponents-client : Ces projets sont responsables de la création et de la maintenance d'un ensemble d'outils de composants Java de bas niveau axés sur HTTP et les protocoles associés. Ils sont également parmi les packages non-JavaScript les plus utilisés.
Un investissement financier important dans la sécurité informatique
Ce n'est sûrement qu'une première étape pour le MAP, pour lequel 24 projets avaient été sélectionnés initialement. Parmi eux, on retrouve des frameworks et CMS essentiels pour le web moderne comme Angular, Gatsby, Drupal ou Joomla. En plus des huit projets cités précédemment, un autre bénéficiera du programme grâce à un financement provenant cette fois de l'OpenSSF. Il s'agit de Symfony, un framework PHP très populaire.
Ce partenariat s'inscrit dans la volonté de Google d'investir 10 milliards de dollars en 5 ans dans la sécurité informatique. Cette somme sera partagée entre différents projets, aussi bien pour améliorer les solutions zero-trust que pour financer la formation de 100 000 Américains et Américaines dans le domaine.