Sécurité de la chaîne d'approvisionnement logicielle open source : un demi-siècle de défis
De l'examen de sécurité du système Honeywell Multics de 1974 soulignant les préoccupations concernant les « portes dérobées » à l'attaque XZ de 2024 ciblant les systèmes Debian, la sécurité de la chaîne d'approvisionnement logicielle open source reste un problème persistant. Cet article explore la complexité du problème, qui va au-delà des simples graphes de dépendances, englobant toutes les étapes de la construction et de la distribution de logiciels, y compris les facteurs humains. Il propose des solutions telles que l'authentification des logiciels, les builds reproductibles, la détection et la correction rapides des vulnérabilités et l'utilisation de langages de programmation plus sûrs. Il souligne surtout l'importance du financement du développement open source, car le sous-financement rend les projets vulnérables à une prise de contrôle malveillante. L'attaque XZ sert d'avertissement clair : une « aide gratuite » apparemment inoffensive peut dissimuler des risques importants.