Google et l’OpenSSF renforcent la sécurité de l’open source

Un projet piloté par Google et l’OpenSSF vise à automatiser le processus d’identification des paquets malveillants ajoutés à des logiciels open source populaires.

Les logiciels open source posent de graves problèmes de sécurité. En effet, « malgré le rôle essentiel des logiciels libres dans tous les logiciels construits aujourd’hui, il est beaucoup trop facile pour les cybercriminels de faire circuler des paquets malveillants qui attaquent les systèmes et les utilisateurs », comme l’expose Caleb Brown, de l’équipe des logiciels libres de Google, dans une note de blog.

Il rappelle que les dépôts de paquets n’ont pas les moyens des magasins d’applications mobiles pour analyser et rejeter les contributions malveillantes. Ils font pourtant face à des milliers de mises à jour quotidiennes, et « doivent maintenir un modèle ouvert où tout le monde peut contribuer librement ».

« Par conséquent, des paquets malveillants tels que ua-parser-js et node-ipc sont régulièrement mis en ligne sur des dépôts populaires malgré tous leurs efforts, avec des conséquences parfois dévastatrices pour les utilisateurs », complète Caleb Brown.

Pour y faire face, Google et l’Open Source Security Foundation (OpenSSF) de la Linux Fondation ont mis en place un projet d’analyse dynamique de tous les paquets mis en ligne sur des dépôts de logiciels libres populaires.

Son but est d’automatiser la détection des paquets malveillants distribués sur les dépôts de paquets populaires, tels que npm pour JavaScript et PyPl pour Python.