La crise de confiance dans les logiciels : pourquoi devons-nous leur faire confiance (la plupart du temps) ?
Cet article explore le problème difficile de la confiance dans les logiciels. L'auteur soutient que même les applications de messagerie sécurisées reposent sur la confiance envers le fournisseur ; le volume de code énorme dans les logiciels open source rend la revue impraticable ; la signature de code vérifie l'intégrité, mais repose sur la diligence de l'utilisateur et est facilement contournée. L'article examine les vulnérabilités dans la chaîne d'approvisionnement des logiciels, notamment la signature de code, la liste noire, les mises à jour automatiques et les gestionnaires de paquets. Il présente des techniques telles que les builds reproductibles et la transparence binaire pour améliorer la confiance dans les logiciels, mais conclut en fin de compte qu'il s'agit d'un problème loin d'être résolu, nous laissant avec la réalité inconfortable de devoir faire confiance aux fournisseurs de logiciels.