Apache Software Foundation, Blender Foundation, OpenSSL Software Foundation, PHP Foundation, Python Software Foundation, Rust Foundation et Eclipse Foundation annoncent conjointement leur intention de collaborer l'tablissement de spcifications communes pour le dveloppement de logiciels scuriss sur la base des meilleures pratiques open source existantes.La communaut des logiciels open source et l'industrie du logiciel au sens large sont dsormais confrontes un dfi commun : la lgislation a introduit un besoin urgent de normes en matire de processus de cyberscurit.
Afin de relever les vritables dfis de la cyberscurit dans l'cosystme open source et de dmontrer une coopration totale avec la loi sur la cyber-rsilience de l'Union europenne (CRA), Apache Software Foundation, Blender Foundation, OpenSSL Software Foundation, PHP Foundation, Python Software Foundation, Rust Foundation et Eclipse Foundation annoncent une initiative visant tablir des spcifications communes pour le dveloppement de logiciels scuriss sur la base des meilleures pratiques de l'open source.
Cet effort de collaboration sera hberg par la Fondation Eclipse AISBL, base Bruxelles, sous les auspices du processus de spcification de la Fondation Eclipse et d'un nouveau groupe de travail. En tant que plus grande fondation europenne de logiciels open source, qui soutient galement un processus de spcification ouvert et solide, la Fondation Eclipse est un foyer naturel pour cet effort. D'autres fondations open source hbergeant du code, des PME, des acteurs de l'industrie et des chercheurs sont galement invits participer. Le point de dpart de cet effort de normalisation hautement technique sera les politiques et procdures de scurit existantes des fondations open source respectives, ainsi que les documents similaires dcrivant les meilleures pratiques. La gouvernance du groupe de travail suivra le modle habituel de la Fondation Eclipse, dirig par les membres, mais sera complte par une reprsentation explicite de la communaut open source afin de garantir la diversit et l'quilibre dans la prise de dcision. Les rsultats attendus consisteront en une ou plusieurs spcifications de processus mises disposition sous une licence de copyright de spcification librale et une licence de brevet libre de redevance.
Les raisons de cette collaboration vont au-del de la conformit. une poque o les logiciels, en particulier les logiciels libres, jouent un rle de plus en plus vital dans la socit moderne, le besoin de fiabilit, de sret et de scurit n'a cess d'augmenter. Les nouvelles rglementations, comme l'ARC, soulignent l'urgence d'une conception scurise et de normes de scurit solides pour la chane d'approvisionnement bien avant l'entre en vigueur de la nouvelle rglementation en 2027.
Bien que les communauts et les fondations de l'open source adhrent gnralement aux meilleures pratiques de l'industrie en matire de scurit et les ont tablies par le pass, leurs approches manquent souvent d'harmonisation et de documentation complte. La communaut des logiciels open source et l'industrie du logiciel au sens large ont dsormais un dfi commun relever : la lgislation a cr un besoin urgent de normes de processus en matire de cyberscurit.
La CRA conduira de nombreuses demandes de normes de la part de la Commission aux organismes europens de normalisation. Et il ne s'agit l que des exigences europennes - on peut s'attendre des demandes supplmentaires de la part des tats-Unis et d'autres rgions.
La CRA cre galement un nouveau type d'acteur conomique - le "Open Source Software Steward". C'est dans ce contexte que les fondations de logiciels open source souhaitent relever le dfi d'tablir des spcifications communes pour le dveloppement de logiciels scuriss.
Ce dfi est aggrav par les lments suivants :
- L'infrastructure logicielle mondiale actuelle est compose plus de 80 % de logiciels open source. La pile logicielle qui sous-tend tout produit comportant des lments numriques est gnralement construite l'aide de logiciels open source. Par consquent, il est juste de dire que lorsqu'on parle de la "chane d'approvisionnement en logiciels", on se rfre principalement, mais pas exclusivement, l'open source.
- Les organismes de normalisation traditionnels n'ont eu que des interactions limites avec les communauts de logiciels open source et l'industrie du logiciel et des technologies de l'information au sens large. Pour compliquer les choses, leurs modles de gouvernance n'offrent actuellement aucune possibilit de participation aux communauts open source.
- Les communauts de logiciels open source ont peu d'exprience des relations avec les organismes de normalisation traditionnels. Pour compliquer encore les choses, leurs contraintes en matire de ressources les empchent de s'engager.
- L'tablissement de normes est gnralement un processus long, et le temps est un facteur essentiel.
Ainsi, alors que ces nouvelles normes de cyberscurit doivent tre labores en tenant compte des exigences des processus et des communauts de dveloppement de logiciels libres, il n'existe pas de voie claire pour y parvenir dans le temps imparti. Il est galement important de noter qu'il est tout aussi ncessaire que ces normes soient labores en tenant compte des exigences du dveloppement de logiciels propritaires, des grandes entreprises, des industries verticales et des petites et moyennes entreprises.
Malgr ces dfis, il existe une base de progrs. Les principales communauts et fondations de logiciels open source dveloppent et pratiquent depuis des annes des processus de dveloppement de logiciels scuriss. Ces processus ont souvent dfini ou tabli les meilleures pratiques de l'industrie dans des domaines tels que la divulgation coordonne, l'examen par les pairs et les processus de publication. Ces processus ont t documents par chacune de ces communauts, mme si elles utilisent parfois une terminologie et des approches diffrentes. La documentation technique sur les processus de cyberscurit qui existe dj dans les communauts open source peut constituer un point de dpart utile pour l'laboration des processus de cyberscurit ncessaires la mise en conformit avec la rglementation.
La Fondation Eclipse dclare :
Nous vous invitons vous joindre notre effort de collaboration en vue de crer des spcifications pour le dveloppement scuris de logiciels libres : Apportez vos ides et participez la magie qui s'opre lorsque les fondations open source, les PME, les leaders de l'industrie et les chercheurs unissent leurs forces pour relever de grands dfis. Pour rester inform sur cette initiative, inscrivez-vous notre liste de diffusion.
Et vous ?
Pensez-vous que cette initiative est crdible ou pertinente ?
Quel est votre avis sur le sujet ?
Voir aussi :
