La vulnérabilité Log4Shell a révélé le danger des dépendances logicielles et leur impact sur notre quotidien numérique. La vulnérabilité de la bibliothèque de journalisation Log4j Java était gérée par seulement six responsables actifs qui travaillaient gratuitement sur la base de code. Cela met en évidence le problème fondamental du développement open source et la menace qu’il représente pour la chaîne d’approvisionnement des logiciels.
La chaîne d’approvisionnement des logiciels est vulnérable et son cadre de sécurité doit être amélioré. Christian Grobmeier de l’équipe de développement Log4j et Brian Behlendorf de l’Open Source Security Foundation (OpenSSF) soulignent l’importance des dépendances logicielles sécurisées. Les développeurs doivent déterminer d’où vient le logiciel, s’il est nécessaire et, en fin de compte, s’il est sécurisé.
La vulnérabilité Log4j a montré que la nature du développement logiciel moderne rend impossible d’empêcher d’autres projets de télécharger des versions vulnérables du logiciel open source. Behlendorf de l’OpenSSF souligne la menace pour la société dans son ensemble, puisque les logiciels open source sont utilisés dans presque tous les produits avec logiciel.
Le gouvernement américain a pris des mesures pour améliorer la cybersécurité après la vulnérabilité Log4Shell. Selon Behlendorf, OpenSSF s’engage à garantir que les fournisseurs finaux de produits logiciels soient tenus responsables des failles de sécurité. Cela est nécessaire pour éviter que les projets open source ne transfèrent la responsabilité aux développeurs.
Alors que les audits de sécurité sont essentiels pour assurer la sécurité des logiciels, OpenSSF souligne que les chercheurs en sécurité et les développeurs de logiciels doivent être rémunérés. Cela est particulièrement vrai dans la communauté open source, où de nombreux bénévoles travaillent sur des logiciels critiques gratuitement ou pendant leur temps libre.
L’événement BSI en Allemagne où ces discussions ont eu lieu manquait d’une approche axée sur la sécurité nécessaire pour assurer l’avenir de la numérisation. Alors que le monde devient de plus en plus dépendant de l’infrastructure numérique, il est crucial de combler les failles de sécurité dans les chaînes d’approvisionnement logicielles que Log4Shell a découvertes. Sans cette approche, il sera difficile de protéger les fondements de notre avenir numérique.
