Log4j : la Maison-Blanche réunit le gratin de la tech pour discuter de la sécurité de l’open source
Une réunion doit évoquer la manière de sécuriser l’open source, avec, en filigrane, la question du financement de projets cruciaux pour la tech.
On a vu ces dernières années s’accumuler les incidents impliquant l’open source : OpenSSL, Log4j et, dans une moindre mesure, les bibliothèques logicielles « faker.js » et « colors.js ». Ces problèmes ne seraient sans doute pas si graves s’il s’agissait de projets utilisés par une poignée d’internautes. Mais certains programmes, comme OpenSSL et Log4j, sont cruciaux à des millions d’autres.
Les problèmes de l’open source ne sont pas liés à la disponibilité du code source. Ils proviennent davantage des moyens insuffisants à disposition de la communauté des développeurs pour bien maintenir les projets. Les volontaires manquent et celles et ceux qui participent le font aussi bénévolement. Pourquoi ? Parce qu’il n’y a pas assez de financement pour payer des équipes pour qu’elles travaillent régulièrement sur tel ou tel projet.
Un fait divers a illustré de manière un peu spectaculaire cette situation : en janvier, il a été rapporté qu’un développeur bénévole a choisi de saboter deux projets open source auxquels il contribuait régulièrement pour dénoncer la précarité de l’open source — et de fait, l’insuffisante sécurité qui peut parfois entourer certains projets. Des milliers d’autres logiciels qui dépendaient de ces deux bibliothèques logicielles, « faker.js » et « colors.js », ont ainsi été entravés.
Rencontre au sommet pour l’open source
Ce problème de financement de l’open source…
Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/