25/07/2016

Keepass et Apache bientôt inspectés par l’Europe

le programme EU-FOSSA, doté d’un budget d’un million d’euros, réalisera un audit de sécurité de ces deux solutions open source. Une bonne idée qui semble se buter à une approche peu agile de la part des services IT de Bruxelles.

Un projet pirate !

Le projet EU-FOSSA pour «EU – Free and Open Source Software Auditing» est né de la volonté d’un membre du parti pirate, Julia Reda, et du parlement Euopéen de sécuriser les solutions open source utilisées par les institutions Européennes. Ce projet pilote a donné lieu la semaine dernière à la mise en place d’un sondage, récoltant 3282 réponses. Ce sondage visait à cerner les besoins d’audit prioritaires pour les solutions utilisées par les services de Bruxelles. Les résultats ont placé le gestionnaire de mot de passe KeePass en première position avec 23,1 %, puis le serveur web HTTP Apache, avec 18,7 %. Les résultats complets du sondage sont disponibles sur le site de la Commission Européenne. Dans les semaines à venir, ces audits de sécurité auront donc la charge de découvrir toute faille de sécurité dans le code et de partager les résultats avec la communauté des développeurs.

Une polémique lancée par la FSF

La communauté open source, rarement avare en polémique et contradiction a vu Matthias Kirschner, vice-président de la Free Software Foundation Europe s’élever contre le projet dont il considère que « s’il continue sur le même chemin, la majorité du million d’euros de dotation sera dépensée sans le moindre retour positif » avec « un résultat qui se sera qu’un ensemble de rapports d’audit que personne ne lira jamais ». La sortie remarquée de Kirschner, titrée « FOSSA – maintenant nous avons de l’avis de vrais experts », n’est pas passée inaperçue, qualifiant les responsables du projet de peu expérimenté dans le domaine de l’open source, ayant commis des erreurs factuelles issues de la volonté de mettre en scène le projet : ambiance garantie dans les prochaines rencontres de couloir à Bruxelles !

Le premier des reproches clairement imputable aux instances Européennes est certainement le rapport d’étape récemment publié, pesant 550 pages après un an de silence. On est dès lors très loin d’une approche agile, en communication régulière avec la communauté des développeurs open source, permettant de rectifier les erreurs commises en amont des productions documentaires. En cela on ne peut que comprendre l’attitude de la FSF Europe.

Source : www.infosecurity-magazine.com

Actualités