Plusieurs entreprises, dont quelques acteurs technologiques en vue, adhèrent à OpenSSF, une nouvelle organisation chargée d’améliorer la sécurité des logiciels open source.
OpenSSF est l’acronyme d’Open Source Security Foundation. L’organisation a été fondée par GitHub, Google, IBM, JP Morgan Chase, Microsoft, NCC Group, Okta, Owasp et Red Hat.
Dans un communiqué expliquant sa participation, Microsoft déclare que les logiciels open source sont pilotés de manière inhérente par la communauté, ce qui fait qu’il n’y a pas d’autorité centrale responsable de leur qualité ou de leur maintenance. Il en résulte que le code peut être copié et adapté, ce qui accroît souvent la complexité de certaines versions et scissions (‘forks’).
L’objectif est qu’OpenSSF regroupe diverses initiatives de sécurité open source. Il s’agit notamment de mieux identifier et comprendre les risques de sécurité dans l’écosystème open source, de fournir des outils de sécurité aux développeurs, de partager les meilleures pratiques et de notifier les points faibles. Cela couvre aussi les programmes ‘bug bounty’ (récompenses) et autres activités sécuritaires, en vue d’améliorer la sécurité des logiciels open source.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici