SOS – Mozilla finance la sécurité de l’Open Source

1
119

Avec SOS “Secure Open Source”, Mozilla concentre ses efforts de son programme Moss visant à la détection et à la correction de failles dans l’open source. Un moyen viable d’éviter l’exploitation de failles critiques à l’avenir ?

Les logiciels Open Source sont utilisés par des millions d’entreprises ainsi que des milliers d’organismes gouvernementaux et d’enseignements dans le cadre de services et applications critiques. De Google à Microsoft en passant par les Nations Unies, le code Open Source est aujourd’hui étroitement lié au développement logiciel.

Or, le monde de l’open source a été fortement marqué par les failles Heartbleed et Shellshock, révélatrices d’un manque de moyens récurrent et d’efforts coordonnés lorsqu’il s’agit de sécuriser ses projets. Pourtant, même un an près ces vulnérabilités critiques, il s’avère que les logiciels ne bénéficient toujours pas du support adéquat, comme le note Chris Riley, en charge des affaires publiques chez Mozilla. La fondation a donc décidé de pallier à ce problème de manière définitive et durable. C’est là qu’intervient le programme MOSS, dans lequel la fondation Mozilla a investi un million de dollars.

Un dérivé du système Bug Bounty

Dans le cadre du nouveau programme Secure Open Source, ou SOS, une partie de ces ressources seront réorientées dans la sécurité, plus précisément dans les audits. SOS soutiendra à hauteur de 500 000 dollars « les audits de sécurité, les corrections et les vérifications des projets de logiciels open source sensibles » explique Chris Riley. Mozilla procédera en trois étapes : faire appel à des prestataires qui vérifieront le code de projets open source, travailler avec les responsables de ces projets afin de corriger les bugs et financer les processus de vérification du code post-correction. 

Ce système a déjà été testé avec des audits sur PCRE, libjpeg-turbo et phpMyAdmin et aurait permis de découvrir 43 bugs, dont une faille critique. « Ces premiers résultats confirment notre hypothèse d’investissement ». Le programme est désormais ouvert aux candidats qui devront remplir un formulaire

 

Source : L’Informaticien

Les commentaires sont fermés.