Les logiciels open source constituent l’infrastructure publique qui alimente la vie quotidienne moderne, et quatre développeurs sur cinq s’appuieront sur des technologies open source sélectionnées d’ici 2025, selon le vice-président de l’infrastructure de Google Cloud, Eric Brewer.
L’open source contrôlé vise à améliorer la sécurité de la chaîne d’approvisionnement avec un niveau supplémentaire de responsabilité. Brewer a écrit dans un billet de blog que cela est nécessaire « pour exécuter les applications qui alimenteront notre avenir. » Il a cité des réglementations gouvernementales telles que le programme fédéral de gestion des risques et des autorisations (FedRAMP) et le décret du président Biden sur la cybersécurité.
Le concept d’open source conservé repose sur une personne ou une équipe de conservateurs qui vérifient les paquets de logiciels open source afin d’identifier et de corriger les vulnérabilités. Par exemple, les conservateurs mettent à jour les anciennes dépendances, suivent les nouvelles et déploient des tests automatisés qui simplifient la sécurité des logiciels libres.
La conservation des logiciels libres existe aujourd’hui à une plus petite échelle, par le biais de paquets liés à une version supportée de Linux ou à des versions payantes de systèmes libres comme Apache Spark. Mais à l’heure actuelle, « la plupart des paquets dont nous dépendons ne font pas l’objet d’une curation », écrit Brewer. « Compte tenu du risque généralisé, cela devra changer ».
À cet égard, il a vanté le service de sécurité géré Software Delivery Shield de Google Cloud pour sa capacité à protéger la chaîne d’approvisionnement des logiciels d’une entreprise, de la source au déploiement. Le service Assured OSS curated de l’hyperscaler scanne, analyse et teste plus de 500 paquets open source en Java et Python à la recherche de failles de sécurité. Le service de curation tente ensuite de résoudre tous les problèmes avant de mettre ces logiciels à la disposition des développeurs de clouds.
Les paquets open source sélectionnés par Google Cloud « permettent aux entreprises de bénéficier des mêmes capacités et pratiques de sécurité de bout en bout que celles que nous appliquons à notre propre portefeuille OSS chez Google Cloud », a indiqué M. Brewer. Cette disponibilité ouverte ouvre la voie aux développeurs pour accéder aux mêmes logiciels que ceux dans lesquels l’hyperscaler a investi et dont il dépend pour ses propres activités, a-t-il ajouté.
