Clever Geek Handbook

Qui sera engagé dans le développement de la sécurité open source - discuter de nouveaux projets et de leur avenir

La Linux Foundation a fondé OpenSSF en août. Il comprend la Core Infrastructure Initiative et la Open Source Security Coalition . Leurs participants développeront des outils pour rechercher des vulnérabilités dans le code et vérifier les programmeurs impliqués dans son écriture. Disons ce qui est quoi.





Photo - Andrew Sharp - Unsplash



Quels sont les avantages pour l'industrie informatique



Moins de bogues dans les logiciels open source . Les principaux efforts du fonds viseront à soutenir des solutions qui réduisent la probabilité de vulnérabilités critiques au niveau de l'infrastructure informatique.



Un exemple serait Heartbleed dans OpenSSL, qui permet la lecture non autorisée de la mémoire sur le serveur ou le client. En 2014, environ 500 000 sites Web se sont révélés vulnérables et environ 200 000 d'entre eux n'ont pas encore été corrigés .



Les nouveaux développements dans ce domaine devraient faciliter des réponses plus rapides à des problèmes similaires. GitHub a déjà transféré la solution Security Lab à l' Open Source Security Coalition - il aide les participants du site à apporter rapidement des informations sur les bogues dans le code aux responsables. Interface GitHubvous permet d'obtenir l' identifiant CVE du problème détecté et de préparer un rapport.



Meilleures méthodologies de développement . Une bibliothèque organisée des meilleures pratiques sera formée , dont le contenu peut être influencé par n'importe qui dans la communauté ouverte. À ces fins, les ingénieurs de grandes entreprises informatiques organiseront des réunions en ligne toutes les deux semaines et discuteront des technologies, des cadres et des fonctionnalités des langages de programmation.





Photo - Walid Hamadeh - Unsplash




Processus de sélection transparent . La Core Infrastructure Initiative et l' Open Source Security Coalition prévoient de développernouveaux mécanismes de contrôle des contributeurs. On sait peu de choses sur leurs spécificités, mais elles aideront à éviter de répéter l'histoire avec la bibliothèque de flux d'événements pour Node.js, lorsqu'un nouveau responsable y a implémenté une porte dérobée pour voler de la crypto-monnaie.



Vue de perspective



La communauté informatique a bien accueilli les nouvelles initiatives. Michael Scovetta, spécialiste de la cybersécurité de Microsoft, a noté que trois jours seulement s'écoulaient entre la découverte de la vulnérabilité et l'apparition des premiers exploits. Il estime que la boîte à outils développée dans le cadre des projets OpenSSF permettra la publication de correctifs en peu de temps et réduira les risques.



Bien que l'un des résidents de Hacker News dans un fil thématique ait exprimé sa crainte que les spécialistes commencent à développer de nouvelles normes de sécurité de l'information au lieu de développer celles existantes. En conséquence, l'histoire décrite dans l'une des bandes dessinées XKCD redeviendra pertinente .





:







open source —

Linux. I:

Linux. II:

Linux. III: «»

Linux-





More articles:


All Articles