REPLAY CONFÉRENCES – Cybersécurité et open source
Le 12/01/2022
Après l’annonce en février dernier d’une stratégie nationale pour la cybersécurité, c’est “le” sujet IT du moment. Mais comment appréhender la question de la cybersécurité quand on fait de l’Open Source ? L’Open Source apporte d’importants avantages pour la sécurité des applications, pouvant même être un avantage concurrentiel pour les industriels proposant des solutions de haut niveau de sécurité. De plus, certains processus de développement qui contribuent à la sécurité sont largement diffusés dans l’Open Source, et de nombreux outils sont disponibles pour la détection de vulnérabilités et les évaluations de sécurité. Enfin, les solutions libres constituent des éléments indispensables de la confiance pour toutes les applications/infrastructures.
Extrait des conférences cybersécurité lors d’Open Source Experience 2021 (Playlist complète cliquez-ici)
Free TON : la blockchain Open Source haute performance
Free TON est la continuation en Open Source du projet TON, la blockchain du réseau de discussion Telegram. TON était un projet très ambitieux, qui a levé près de 1.7 milliard de dollars en 2018, avant d’être arrêté au bout de 2 ans par la SEC (le gendarme de la bourse américain). Free TON a poursuivi ce développement, avec une philosophie de décentralisation totale (pas de fondation, etc.) et un accent sur le passage à l’échelle, qui en font une blockchain unique, aussi bien par ses qualités que par ses performances hors normes.
Open Source Security Foundation CII Best Practices Badge
Les logiciels libres (OSS) sont essentiels dans le monde d’aujourd’hui. Cependant, alors que certains OSS suivent les bonnes pratiques en matière de sécurité, d’autres ne le font pas, ce qui conduit parfois à des failles de sécurité. Pour résoudre ce problème, le programme Best Practices Badge de la Core Infrastructure Initiative (CII) a été créé. Ce programme a créé des critères de «bonnes pratiques» de sécurité et de durabilité et un process permettant aux projets OSS d’obtenir une certification. Ce talk présente les critères clés de la certification et les améliorations de sécurité apportées par quelques projets pour l’obtenir. Enfin, il sera également question de ses connexions dans le monde au sens large, y compris son intégration à l’Open Source Security Foundation (OpenSSF) et l’impact potentiel du décret américain sur la cybersécurité.
Partagez votre code et non vos secrets
Les plateformes d’hébergement et de partage de code Open Source constituent le pilier fondamental pour la dissémination et l’organisation des logiciels Open Source. Elles permettent de structurer le code source, d’orchestrer les contributions, d’organiser le versionnage, etc. Exposer son code source au public va dans la démarche du partage Open Source, mais elle peut exposer son auteur à divulguer des vulnérabilités aux conséquences potentiellement désastreuses. Le cas de Uber en 2016 qui a subi une fuite de données personnelles de 57 millions de leurs clients à cause d’un mot de passe non protégé sur Github en est un exemple flagrant. Lors de ce talk, nous discuterons des raisons qui conduisent à engendrer ce genre de vulnérabilités, des moyens de s’en protéger et des différents outils Open Source permettant de scanner les projets et de détecter les risques de divulgation.
