Alors que les cyberattaques visant les fournisseurs de logiciels libres ont augmenté de 650 % en l’espace d’une année, Google vient d’annoncer des mesures pour renforcer la sécurité de la chaîne d’approvisionnement en logiciels.
Le géant américain vient ainsi de mettre sur pieds une initiative permettant d’offrir aux entreprises utilisatrices de logiciels open source un accès aux mêmes paquets sécurisés que ceux utilisés par ses propres développeurs pour créer et maintenir le code. « Nous nous sommes demandé comment prendre de l’avance sur tout problème de chaîne d’approvisionnement numérique afin de ne pas être dans la même position que celle dans laquelle nous sommes aujourd’hui sur la chaîne d’approvisionnement physique », explique Sunil Potti, vice-président de Google Cloud Security.
Et de citer le problème critique soulevé par la sécurité des logiciels open-source, utilisées par « à peu près toutes les entreprises de la planète ». Les paquets proposés aux clients de Google Cloud dans le cadre du service Assured Open Source Software sont certifiés de manière vérifiable par Google et sont régulièrement scannés et analysés pour détecter les vulnérabilités afin de garantir aux utilisateurs une protection maximale contre les bogues et les exploits.
Des logiciels certifiés par Google
Ils sont construits à l’aide de la plateforme Cloud Build de Google, avec des preuves de conformité vérifiable avec la norme SLSA (Supply chain Levels for Software Artifacts) – un cadre de sécurité et une liste de contrôle des normes et des contrôles visant à empêcher la falsification du code, à améliorer l’intégrité et à sécuriser les paquets. Ce système est basé sur le processus utilisé au sein de Google, où chaque étape de la construction est activement sécurisée tout au long du processus de bout en bout, et où des copies séparées et sécurisées du code source sont conservées.
La nouvelle offre de Google Cloud « permet aux entreprises clientes de bénéficier directement des capacités et des pratiques de sécurité approfondies et de bout en bout que nous appliquons à notre propre portefeuille de logiciels open-source en leur donnant accès aux mêmes paquets de logiciels open-source dont Google dépend », fait-on savoir du côté du géant américain.
Rappelons que les vulnérabilités de la chaîne d’approvisionnement sont exploités très largement par les cybercriminels. De nombreux incidents commencent par des attaquants exploitant des vulnérabilités de cybersécurité de type « zero-day » récemment découvertes. Cependant, même si un correctif de sécurité est fourni, les organisations peuvent être lentes à le déployer, ce qui les rend vulnérables aux attaquants.
Avec cette nouvelle offre, Google Cloud espère faciliter la gestion des vulnérabilités des logiciels libres et de la chaîne d’approvisionnement – et donc aider les organisations de toutes tailles à rester en sécurité contre les cyberattaques. Reste maintenant à voir si ce plan fonctionnera.
Source : ZDNet.com
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));