Apache Software Foundation, Blender Foundation, OpenSSL Software Foundation, PHP Foundation, Python Software Foundation, Rust Foundation et Eclipse Foundation annoncent conjointement leur intention de collaborer à l'établissement de spécifications communes pour le développement de logiciels sécurisés sur la base des meilleures pratiques open source existantes.La communauté des logiciels open source et l'industrie du logiciel au sens large sont désormais confrontées à un défi commun : la législation a introduit un besoin urgent de normes en matière de processus de cybersécurité.
Afin de relever les véritables défis de la cybersécurité dans l'écosystème open source et de démontrer une coopération totale avec la loi sur la cyber-résilience de l'Union européenne (CRA), Apache Software Foundation, Blender Foundation, OpenSSL Software Foundation, PHP Foundation, Python Software Foundation, Rust Foundation et Eclipse Foundation annoncent une initiative visant à établir des spécifications communes pour le développement de logiciels sécurisés sur la base des meilleures pratiques de l'open source.
Cet effort de collaboration sera hébergé par la Fondation Eclipse AISBL, basée à Bruxelles, sous les auspices du processus de spécification de la Fondation Eclipse et d'un nouveau groupe de travail. En tant que plus grande fondation européenne de logiciels open source, qui soutient également un processus de spécification ouvert et solide, la Fondation Eclipse est un foyer naturel pour cet effort. D'autres fondations open source hébergeant du code, des PME, des acteurs de l'industrie et des chercheurs sont également invités à participer. Le point de départ de cet effort de normalisation hautement technique sera les politiques et procédures de sécurité existantes des fondations open source respectives, ainsi que les documents similaires décrivant les meilleures pratiques. La gouvernance du groupe de travail suivra le modèle habituel de la Fondation Eclipse, dirigé par les membres, mais sera complétée par une représentation explicite de la communauté open source afin de garantir la diversité et l'équilibre dans la prise de décision. Les résultats attendus consisteront en une ou plusieurs spécifications de processus mises à disposition sous une licence de copyright de spécification libérale et une licence de brevet libre de redevance.
Les raisons de cette collaboration vont au-delà de la conformité. À une époque où les logiciels, en particulier les logiciels libres, jouent un rôle de plus en plus vital dans la société moderne, le besoin de fiabilité, de sûreté et de sécurité n'a cessé d'augmenter. Les nouvelles réglementations, comme l'ARC, soulignent l'urgence d'une conception sécurisée et de normes de sécurité solides pour la chaîne d'approvisionnement bien avant l'entrée en vigueur de la nouvelle réglementation en 2027.
Bien que les communautés et les fondations de l'open source adhèrent généralement aux meilleures pratiques de l'industrie en matière de sécurité et les ont établies par le passé, leurs approches manquent souvent d'harmonisation et de documentation complète. La communauté des logiciels open source et l'industrie du logiciel au sens large ont désormais un défi commun à relever : la législation a créé un besoin urgent de normes de processus en matière de cybersécurité.
La CRA conduira à de nombreuses demandes de normes de la part de la Commission aux organismes européens de normalisation. Et il ne s'agit là que des exigences européennes - on peut s'attendre à des demandes supplémentaires de la part des États-Unis et d'autres régions.
La CRA crée également un nouveau type d'acteur économique - le "Open Source Software Steward". C'est dans ce contexte que les fondations de logiciels open source souhaitent relever le défi d'établir des spécifications communes pour le développement de logiciels sécurisés.
Ce défi est aggravé par les éléments suivants :
- L'infrastructure logicielle mondiale actuelle est composée à plus de 80 % de logiciels open source. La pile logicielle qui sous-tend tout produit comportant des éléments numériques est généralement construite à l'aide de logiciels open source. Par conséquent, il est juste de dire que lorsqu'on parle de la "chaîne d'approvisionnement en logiciels", on se réfère principalement, mais pas exclusivement, à l'open source.
- Les organismes de normalisation traditionnels n'ont eu que des interactions limitées avec les communautés de logiciels open source et l'industrie du logiciel et des technologies de l'information au sens large. Pour compliquer les choses, leurs modèles de gouvernance n'offrent actuellement aucune possibilité de participation aux communautés open source.
- Les communautés de logiciels open source ont peu d'expérience des relations avec les organismes de normalisation traditionnels. Pour compliquer encore les choses, leurs contraintes en matière de ressources les empêchent de s'engager.
- L'établissement de normes est généralement un processus long, et le temps est un facteur essentiel.
Ainsi, alors que ces nouvelles normes de cybersécurité doivent être élaborées en tenant compte des exigences des processus et des communautés de développement de logiciels libres, il n'existe pas de voie claire pour y parvenir dans le temps imparti. Il est également important de noter qu'il est tout aussi nécessaire que ces normes soient élaborées en tenant compte des exigences du développement de logiciels propriétaires, des grandes entreprises, des industries verticales et des petites et moyennes entreprises.
Malgré ces défis, il existe une base de progrès. Les principales communautés et fondations de logiciels open source développent et pratiquent depuis des années des processus de développement de logiciels sécurisés. Ces processus ont souvent défini ou établi les meilleures pratiques de l'industrie dans des domaines tels que la divulgation coordonnée, l'examen par les pairs et les processus de publication. Ces processus ont été documentés par chacune de ces communautés, même si elles utilisent parfois une terminologie et des approches différentes. La documentation technique sur les processus de cybersécurité qui existe déjà dans les communautés open source peut constituer un point de départ utile pour l'élaboration des processus de cybersécurité nécessaires à la mise en conformité avec la réglementation.
La Fondation Eclipse déclare :
Nous espérons que nos spécifications pourront alimenter les processus formels de normalisation d'au moins l'un des organismes européens de normalisation. Compte tenu du délai serré pour la mise en œuvre de la CRA, nous pensons que ce démarrage immédiat fournira un environnement constructif pour accueillir les discussions techniques nécessaires pour que les responsables, les contributeurs et les adoptants de l'open source répondent aux exigences énoncées dans ces nouvelles réglementations.
Nous vous invitons à vous joindre à notre effort de collaboration en vue de créer des spécifications pour le développement sécurisé de logiciels libres : Apportez vos idées et participez à la magie qui s'opère lorsque les fondations open source, les PME, les leaders de l'industrie et les chercheurs unissent leurs forces pour relever de grands défis. Pour rester informé sur cette initiative, inscrivez-vous à notre liste de diffusion.
Nous vous invitons à vous joindre à notre effort de collaboration en vue de créer des spécifications pour le développement sécurisé de logiciels libres : Apportez vos idées et participez à la magie qui s'opère lorsque les fondations open source, les PME, les leaders de l'industrie et les chercheurs unissent leurs forces pour relever de grands défis. Pour rester informé sur cette initiative, inscrivez-vous à notre liste de diffusion.
Et vous ?
Pensez-vous que cette initiative est crédible ou pertinente ? Quel est votre avis sur le sujet ?Voir aussi :
La loi européenne sur la cyber-résilience comprend des avancées pour l'Open Source, selon la Python Software Foundation Loi européenne sur la cyber-résilience : qu'est-ce que cela signifie pour l'écosystème open source ? Un développeur analyse le nouveau texte du projet de loi Les appareils intelligents connectés à Internet devront se conformer à des règles strictes de l'Union européenne en matière de cybersécurité, sous peine de se voir infliger une amende ou d'être bannis