Mozilla veut apporter sa pierre à l'édifice de la sécurité du code open source. Par le biais de sa fondation, l'éditeur a en effet lancé un fonds baptisé Secure Open Source (SOS) pour fournir des audits de sécurité pour code open source et tenter d'éviter l'exploitation de failles critiques dans des logiciels open source. Des vulnérabilités célèbres comme Heartbleed et Sheelshock. La fondation Mozilla a injecté 500 000 dollars dans ce fonds qui servira également à payer des sociétés de sécurité pour auditer du code projet. L'organisme travaillera avec des personnes ayant des missions de support et d'implémentation de correctifs. Les prestations de vérifications et les bugs identifiés seront rémunérés après correction.
Le fonds initial couvrira les audits concernant les librairies et programmes open source les plus répandus. Cette mise en oeuvre constitue en quelque sorte une reconnaissance de l'usage grandissant des logiciels open source pour des applications et services critiques par les entreprises, les institutions gouvernementales et scolaires. « De Google à Microsoft aux Nations Unies, le code open source est désormais étroitement lié dans la fabrication des logiciels qui alimentent le monde. Effectivement, une grosse partie de l'Internet, incluant l'infrastructure réseau qui le supporte, tourne en utilisant des technologies open source », a écrit dans un billet de blog Chris Riley, responsable des politiques publiques de Mozilla.
Un programme intégré à Open Source Support lancée en octobre 2015
Dans le cadre d'un test lié à son programme SOS, Mozilla a indiqué avoir trouvé et corrigé 43 bugs, incluant une vulnérabilité critique ainsi que deux problèmes liés à un format de fichier répandu. La compagnie espère que les entreprises et les gouvernements utilisant l'open source vont rejoindre cette initiative et apporter des fonds additionnels pour ce projet. Payer des personnes pour trouver des bugs dans les logiciels, parfois sous la forme de compétitions, est devenu une pratique courante. De nombreuses sociétés comme Google, Microsoft ou encore Facebook ont mis en place des bug bounty programs. Le programme SOS fait partie d'un autre plus large, Mozilla Open Source Support, lancé en octobre dernier pour supporter l'open source et le développement de logiciels libres dont le budget annuel s'élève à près de 3 millions de dollars.
Commentaire