Les logiciels open source sont menacés par les logiciels de protestation et le sabotage

Une chaîne de Les incidents de « sabotage » dans les logiciels open source relancent les discussions sur la manière de protéger les projets qui sous-tendent les plateformes et les réseaux numériques dans le monde entier. De nombreux incidents récents ont été surnommés “protestware” parce qu’ils concernent des développeurs open source qui modifient le code pour exprimer leur soutien à l’Ukraine au milieu de l’invasion russe et de l’attaque continue du pays.

Dans certains cas, des logiciels open source ont été modifiés pour afficher des superpositions anti-guerre ou d’autres messages de solidarité avec l’Ukraine. Dans au moins un cas, cependant, un progiciel populaire a été modifié pour déployer un effaceur de données malveillant sur des ordinateurs russes et biélorusses. Cette vague de protestations dans l’open source survient quelques mois seulement après un incident apparemment sans rapport au cours duquel un responsable a saboté deux de ses projets open source largement utilisés par frustration apparente résultant du sentiment de surmenage et de sous-rémunération.

Les incidents ont été relativement contenus jusqu’à présent, mais ils menacent d’ébranler davantage la confiance dans l’écosystème, tout comme l’industrie technologique se démène pour résoudre d’autres problèmes de sécurité de la chaîne d’approvisionnement en logiciels liés à l’open source. Et bien que le soutien financier, les promesses d’outils automatisés et l’attention de la Maison Blanche soient les bienvenus, la communauté open source a besoin d’une aide plus solide et soutenue.

Dans une déclaration jeudi, l’Open Source Initiative, qui a catégoriquement dénoncé la guerre de la Russie en Ukraine, s’est prononcée contre les logiciels de protestation destructeurs, implorant les membres de la communauté de trouver des moyens créatifs et alternatifs d’utiliser leurs positions de mainteneurs pour s’opposer à la guerre.

“Les inconvénients du vandalisme des projets open source l’emportent de loin sur tout avantage possible, et le retour de flamme finira par endommager les projets et les contributeurs responsables”, a écrit le groupe. “Par extension, tout l’open source est lésé. Utilisez votre pouvoir, oui, mais utilisez-le avec sagesse.

Les logiciels open source sont gratuits pour tous, de sorte que les outils et les programmes sont intégrés à tout, des projets indépendants aux logiciels grand public propriétaires. Personne ne veut prendre le temps d’écrire et de tester un composant à partir de zéro alors qu’il pourrait simplement brancher et jouer une version prête à l’emploi. Cela signifie, cependant, que toutes sortes de logiciels reposent sur des projets qui sont maintenus par un ou une poignée de bénévoles, ou sur des projets qui ne sont plus du tout maintenus.

Un avantage longtemps vanté des logiciels open source est qu’ils ont le potentiel d’être tout aussi sécurisés, voire plus sécurisés, que le code propriétaire, car ils sont ouverts à une vérification indépendante. L’idée est que beaucoup d’yeux font peu d’insectes. En pratique, cependant, cette protection a des limites précisément parce qu’il n’y a souvent pas beaucoup d’yeux disponibles. La question du sabotage, cependant, frappe au cœur de la prémisse de l’open source en tant qu’espace décentralisé et non fédéré.

“Il n’y a rien de vraiment en place, de manière systémique, pour empêcher les incidents de sabotage d’initiés de se produire plus souvent”, déclare Dan Lorenc, chercheur sur la chaîne d’approvisionnement en logiciels open source et fondateur de la société de sécurité ChainGuard. « Les projets se forgent une réputation au fil du temps, et les personnes souvent pseudonymes en viennent à faire confiance à l’identité numérique de l’autre en raison du travail qu’elles ont accompli. Il n’y a pas de liste globale d’approbateurs, et chaque projet a une culture différente de la façon dont vous devenez un approbateur », ou un développeur qui est habilité à approuver et publier les modifications de code.

commentaires

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Le plus populaire