Etats-Unis: la CISA expose son programme de sécurisation des logiciels open source

Google et l'OpenSSF présentent un outil d'analyse des dépôts open source malveillants



(Illustration: Pixabay)

L’Agence de la Cybersécurité et de la Sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency, CISA), agence fédérale des Etats-Unis, étend ses efforts pour la sécurisation des logiciels open source, expose un article de FCW. Dédié à la technologie fédérale US, ce site rapporte les déclarations le 6 avril de Jen Easterly, la directrice de la CISA.

« Investir pour la résilience de l’écosystème open source »

Elle a annoncé que l’agence embauche un responsable de la sécurité open source, et renforce son association des secteurs public et privé, le Joint Cyber Defence Collaborative (JCDC), pour «faire progresser la sécurité pour un écosystème sans doute parmi les plus importants pour le fonctionnement du gouvernement fédéral et des infrastructures critiques».

Lors d’un événement de l’Atlantic Council (un think tank américain) sur la cybersécurité, Jen Easterly a indique: «Nous devons investir pour assurer la sécurité, la résilience et la durabilité de l’écosystème open source.»

Le JCDC se concentre sur l’identification et l’atténuation des risques des logiciels open source comme des systèmes de contrôle industriel. La lutte contre les risques de sécurité des logiciels open source est présentée comme une priorité clé dans le programme 2023 du JCDC. Il ambitionne de développer «des approches côté à côte pour affronter les acteurs malveillants et les cyber-risques importants» pour le gouvernement fédéral et ses partenaires du privé.

La CISA gère le programme gouvernemental de divulgation des vulnérabilités, et elle travaille aussi avec le Bureau du directeur national du Cyber, le Bureau de la Gestion et du Budget, et l’Open Source Security Foundation, pour créer des référentiels de logiciels et de gestionnaires de packages. Ils doivent garantir que les produits et services ont été régulièrement mis à jour, ou si besoin retirés des bibliothèques publiques.

«Il est toujours possible de télécharger du code vulnérable, voire malveillant, à partir de bibliothèques de logiciels open source», a déclaré la directrice de la CISA. «C’est donc extrêmement important, et nous essayons de faire bouger les choses cette année.»

Pour son budget 2024, la CISA a demandé près de 425 millions de dollars (391 millions d’euros) pour construire un référentiel interne unique destiné à ses analystes et pour aider à prévenir les violations avant qu’elles ne se produisent.

Lire aussi

L’agence de cybersécurité dispense ses conseils de réponse à incident – 21 février 2022

Google et Microsoft financent la sécurité de logiciels open source – 13 février 2022

Open Source Security Foundation: regrouper pour mieux sécuriser – 4 août 2020





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.