Secure Open Source, un programme Mozilla proche des bugs bounty

secure open source

A l’heure où les logiciels « open-source » sont très largement diffusés et utilisés par des millions d’entreprises et d’organismes gouvernementaux, Mozilla a décidé de lancer le programme Secure Open Source qui vise à favoriser la détection et la correction des failles critiques dans ce type de logiciels.

Un manque de moyens pour sécuriser les logiciels open source

Même si les logiciels open source sont, sans contestation possible, ceux qui sont le plus utilisés à l’échelle mondiale, force est de constater que ces derniers ne bénéficient pas toujours du support adéquat. Pourtant, même les géants du secteur comme Microsoft s’intéressent de près au code open source.

Il faut l’avouer, les failles Heartbleed et Shellshock, qui ont fait couler beaucoup d’encre l’année passée, ont véritablement mis le doigt sur le problème : des moyens insuffisants et un manque de coopération entre les acteurs pour sécuriser les logiciels open source.

La fondation Mozilla a donc décidé de prendre ces problèmes à bras le corps en lançant un nouveau programme sobrement baptisé SOS (Secure Open Source).

Secure Open Source  : la belle initiative de Mozilla

Alors que la fondation Mozilla a investi 1 million de dollars dans le programme Secure Open Source, elle a d’ores et déjà établi que la moitié de ce budget serait consacré à la conduite d’ « audits de sécurité, de corrections et de vérifications de projets de logiciels open source sensibles ».

Pour ce faire, Mozilla va mettre en place un système qui a déjà été testé et qui s’est montré plutôt probant.

Ainsi, la fondation va se mettre en quête de prestataires désireux de vérifier le code de différents projets open source comme c’est habituellement le cas pour les programmes de type bug bounty. Elle fera ensuite remonter leurs trouvailles aux responsables de ces projets qui corrigeront les failles découvertes. Et, pour ne pas faire le travail à moitié, la fondation terminera son action par le financement de processus de vérification qui auront vocation à s’assurer que les changements opérés dans le code ont bien « colmaté » les failles.

No votes yet.
Please wait...

Be the first to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée.


*