Concentrez-vous sur la sécurité du code source, collectez les dernières informations au pays et à l'étranger !
Compilé par : Code Guard
Récemment, la Linux Foundation a fourni un aperçu d'une demande d'informations émise par la Maison Blanche concernant la sécurité des logiciels open source. Vous trouverez ci-dessous une traduction du billet de blog.
0 1
introduction
La récente demande d'informations (RFI) du gouvernement fédéral américain sur la sécurité des logiciels open source est un développement de logiciels open source (OSS) à surveiller. Le groupe de travail interagences Open Source Software Security Initiative (OS3I) a créé cette RFI pour améliorer la sécurité des logiciels libres. Le but de ce blog est de décrire brièvement RFI.
0 2
Aperçu de la demande d'information
RFI est une initiative visant à recueillir des informations et à améliorer les informations sur la sécurité des logiciels libres. Le délai de réponse est jusqu'au 9 octobre 2023. Les répondants n'ont pas besoin de répondre à toutes les questions, il est préférable de commenter les parties pour lesquelles ils ont des connaissances ou des idées professionnelles. Les répondants peuvent également faire des commentaires supplémentaires sur des questions non couvertes par la DDR. Bien que la RFI soulève des préoccupations possibles, il peut y avoir des domaines d'OS3I qui ne sont pas répertoriés dans la RFI mais qui sont essentiels à la sécurité des logiciels libres. Les réponses seront transmises au Bureau du Directeur national du cyberespace (ONCD) de la Maison Blanche et à ses partenaires de l'OS3I.
La DDR commence par un certain nombre de questions, telles que :
Comment le gouvernement fédéral américain devrait-il faire face aux risques systémiques les plus importants liés aux logiciels open source ?
Comment le gouvernement fédéral américain devrait-il favoriser le développement durable à long terme de la communauté du logiciel open source ?
Comment les solutions de sécurité OSS doivent-elles être mises en œuvre d’un point de vue technique et en termes de ressources ?
Que faut-il prioriser ?
0 3
domaines de préoccupation possibles
La DDR a identifié les domaines de préoccupation possibles comme suit :
Sécuriser les bases du logiciel open source : par exemple en favorisant l'adoption de langages de programmation sécurisés en mémoire, en réduisant le nombre de vulnérabilités à grande échelle, en améliorant la sécurité de la chaîne d'approvisionnement logicielle et en formant les développeurs.
Soutenir les communautés et la gouvernance des logiciels open source.
Libérez des incitations comportementales et financières pour sécuriser l’écosystème logiciel open source.
innover.
Collaboration internationale.
Les répondants peuvent faire des suggestions dans d’autres domaines. Par exemple, nous avons entendu des discussions sur une éducation plus large (pas seulement pour les développeurs) et une meilleure réponse aux incidents.
Les IDR sont ouvertes à tous et leur vaste portée devrait permettre la diversité des contributions de plusieurs parties prenantes. Nous notons également que la RFI est liée à certaines initiatives existantes dans la communauté des logiciels libres, telles que l'augmentation de l'utilisation de langages de programmation sécurisés en mémoire.
0 4
participer activement
L'OSS RFI publiée par le gouvernement fédéral américain est une initiative importante pour comprendre et améliorer le paysage de la sécurité des OSS. Il offre à plusieurs parties prenantes (y compris vous) la possibilité de partager des idées, des expériences et des conseils. Les gouvernements du monde entier s’appuient sur les logiciels libres et nous pensons qu’ils disposent des ressources et des capacités nécessaires pour améliorer la sécurité des logiciels libres pour tous.
La Linux Foundation estime que la sécurité des logiciels libres est d'une importance primordiale. En 2020, nous avons créé l'Open Source Security Foundation (OpenSSF) avec nos membres. OpenSSF vise à améliorer la sécurité des OSS grâce à diverses mesures. Par exemple, OpenSSF fournit aux développeurs du matériel pédagogique gratuit, divers guides et un sigstore (pour la signature et la vérification numériques). Nous pouvons faire plus que cela et nous sommes ravis que les membres s'intéressent à ce sujet important. OpenSSF a travaillé avec de nombreux gouvernements pour trouver des moyens de collaborer afin d'améliorer la sécurité des logiciels libres. OpenSSF prévoit de répondre à cette RFI, et nous espérons que vous ferez de même !
Que vous soyez un développeur individuel, une organisation ou une personne intéressée par ce domaine, RFI vous offre la possibilité de participer à des conversations significatives sur l'avenir de la sécurité des logiciels libres.
Les détails de la DDR peuvent être trouvés à l’adresse :
https://www.federalregister.gov/documents/2023/08/10/2023-17239/request-for-information-on-open-source-software-security-areas-of-long-term-focus-and- priorisation.
Adresse d'essai de Code Guard : https://codesafe.qianxin.com
Adresse d'essai de garde open source : https://oss.qianxin.com
Lecture recommandée
OpenSSF publie les lignes directrices des meilleures pratiques de la chaîne d'approvisionnement NPM
Lien d'origine
https://openssf.org/blog/2023/08/25/what-you-need-to-know-about-the-us-federal-governments-rfi-on-open-source-software-security/
Image de titre : Licence Pixabay
Cet article a été compilé par Qi Anxin et ne représente pas les opinions de Qi Anxin. Veuillez indiquer « Réimprimé de Qi Anxin Code Guard https://codesafe.qianxin.com ».
Garde de code Qi'anxin (codesafe)
La première gamme de produits nationaux axée sur la sécurité du développement logiciel.
Si vous vous sentez bien, cliquez simplement sur "Je recherche" ou "J'aime" ~