Journal Demandez à l’UE un audit de code open source

Posté par (page perso) . Licence CC by-sa
37
27
juin
2016

Bonjour à tous,

J’écris ce journal presque bookmark pour vous présenter un projet européen intéressant qui peut avoir besoin de votre contibution. En janvier 2015 a débuté un projet pilote (PP) proposé par Julia Reda et Max Andersson, suite à la faille heartbleed dans openssl, qui tend à faire une levé de fonds afin de financer des audits de code open source au niveau européen. Ce projet finit en fin d’année a bien avancé. À présent, il en est au stade où vous pouvez participer jusqu’ai 8 juillet 2016 afin de donner votre avis sur le projet à auditer dans le cadre de ce projet. Ça se passe par ici.

Si le projet aboutit et est concluant, il peut se transformer en un Preparatory Action (PA) qui aura accès à un budget plus important (40M€ par an pour les PP contre 50M€ pour les PA) et peut durer jusque trois ans avant d’avoir une chance d’être inclus de manière permanente dans le budget de l’UE.

Je pense que cette initiative est très bonne, portée par des MEP très actifs dans l’open source et la réforme du copyright au niveau de l’UE. Disposer d’un budget permanent pour procéder à des audits de code open source est important pour la qualité des logiciels et peut permettre de combler un besoin. Votre avis compte pour l’UE, profitez-en !

Source : https://juliareda.eu/2016/06/eu-free-software-security-audits/

  • # O'Reilly

    Posté par (page perso) . Évalué à 3.

    L'image avec le drapeau de l'UE et la panthère, c'est fait par O'Reilly ?

  • # Merci

    Posté par (page perso) . Évalué à 3.

    … d'avoir battu le rappel, j'allais oublier ce projet!

    Et pour troller le résultat de l'audit du code sera-t-il donné à la perfide albion?

    ⚓ À g'Auch TOUTE! http://afdgauch.online.fr

    • [^] # Re: Merci

      Posté par . Évalué à 6.

      Une prochaine décision de la Commission Européenne sera de trouver un pays où tester l'impact de l'exploitation des failles trouver par des forces malveillantes.
      Le R.U. a été proposé pour 2016, 2017 et 2018.
      On attend de voir quand ils invoqueront l'article 50 avant de les choisir pour 2019.

  • # Pour quel projet voter ?

    Posté par . Évalué à 8.

    La liste des projets proposés au vote:

    • 7-zip
    • Activiti
    • Apache Commons (selected library)
    • Apache HTTP Server
    • BouncyCastle
    • Drupal
    • ElasticSearch
    • Filezilla
    • Git client
    • KeePass
    • Linux - selected system library
    • MySQL
    • Notepad++
    • Tomcat
    • VLC Media Player
    • WinSCP
    • xalan
    • xerces
    • Other (please specify)

    J'ai créé une page wiki qui décrit succintement chaque projet, et qui encourage les gens à ajouter des informations sur les projets pour aider chacun à faire son choix de façon informée.

    (Méta-commentaire: je regrette de passer par le service propriétaire github pour cela. J'ai essayé d'utiliser etherpad/framapad à la place mais le support Markdown est inexistant ou très mauvais, ce qui rend cette solution inutilisable en pratique, en plus du fait que Framapad montre une popup en français à tous les visiteurs—issue #9.)

    • [^] # Re: Pour quel projet voter ?

      Posté par . Évalué à 6.

      Choisir est juste horrible, Linux parce que Linux mais il est déjà très financé, Apache parce que présent partout, mais financé aussi. VLC parce que sur beaucoup de machines, peu financé mais machine peu critique, 7-zip idem.

      C'est vraiment une bonne Liste. Il manque peut-être Firefox.

      "La première sécurité est la liberté"

      • [^] # Re: Pour quel projet voter ?

        Posté par . Évalué à 3. Dernière modification le 27/06/16 à 21:45.

        phpBB se serait pas mal histoire de ne plus voir des gros sites down (linux mint fr ? ^ ^ ) et retroshare qui est recommendé par prism break mais qui n'a jamais eu les moyens pour payer un audit :)

        Il manque peut-être Firefox.

        Mozilla doit avoir les moyens de le payer non? (je me souviens d'un article qui énonçait que Mozilla gagnait tellement que le fisc américains commençait à râler (car fondation à but non lucratif))

        Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

    • [^] # Re: Pour quel projet voter ?

      Posté par (page perso) . Évalué à 7.

      Il manque :

      • Nginx
      • Spip
      • Docuwiki
      • MariaDB (pourquoi auditer le code de MySQL si Oracle ne fait même plus vraiment d'efforts pour le moteur et introduit des bugs)
      • Systemd

      Des termes choquant ou provocateurs peuvent avoir été insérés dans mon message.

    • [^] # Re: Pour quel projet voter ?

      Posté par (page perso) . Évalué à 3.

      Du coup j’ai mentionné ton wiki sur twitter et le lien a été retweeté par Julia Reda, j’espère que ça lui apportera une visibilité intéressante.

      • [^] # Re: Pour quel projet voter ?

        Posté par . Évalué à 3.

        Merci ! J'avais de mon côté posté un commentaire sur le billet de blog, mais "Your comment will be public soon". (Et je n'utilise pas Twitter moi-même donc c'est un canal de plus que je n'aurais pas su exploiter.)

    • [^] # Re: Pour quel projet voter ?

      Posté par (page perso) . Évalué à 4. Dernière modification le 28/06/16 à 10:04.

      À la place de 7-Zip, je proposerais plutôt PeaZip qui est plus avancé (gère mieux l'unicode, plus de formats de fichiers etc).

      Pourquoi Drupal et pas un autre CMS plus utilisé comme WordPress ou un CMS plus moderne écrit en HTML5 ? Il y a par exemple RazorCMS, Concrete 5, NoviusOS, SilverStripe, BackBee, Relax, Apostrophe, Keystone, Gjost, Pencil Blue, Ghost… Ou alors auditer plutôt les briques ReactJS, Riot, AngularJS, Raptor Editor.

      Plutôt que KeePass, je proposerais KeePassX qui ne nécessite pas .NET.

      Plutôt que NotePad++, je proposerais AkelPad qui est bien plus avancé ou sinon Kate qui est multiplateforme.

      Pas la peine de proposer WinSCP (qui utilise .NET) puisque FileZilla est déjà proposé.

      J'ajouterais :
      AES Crypt
      Areca Backup
      ClamWin et Clam Sentinel
      FullSync
      Gpg4win
      HexChat
      Jitsi
      RetroShare
      VeraCrypt
      Zulu

      Dans une moindre mesure (sécurité à l'ouverture de fichiers):
      GIMP
      Clementine
      HandBrake
      LibreOffice
      PDFsam Basic
      Scribus
      Sumatra PDF

      • [^] # Re: Pour quel projet voter ?

        Posté par . Évalué à 1.

        Pourquoi 7-Zip vs PeaZip et Notepad++ vs AkelPad : Parce que plus de gens les utilisent.

        Ce qui m'étonne comme toi c'est l'absence de Wordpress.

        • [^] # Re: Pour quel projet voter ?

          Posté par . Évalué à 7.

          Ce qui m'étonne comme toi c'est l'absence de Wordpress.

          Il faut que cela reste dans un budget raisonnable.
          --> []

        • [^] # Re: Pour quel projet voter ?

          Posté par (page perso) . Évalué à 2.

          Bon alors s'il faut choisir ce que les gens utilisent, on propose Windows ?
          Gniaark gniiark

        • [^] # Re: Pour quel projet voter ?

          Posté par (page perso) . Évalué à 1.

          Mais 7-zip n’est plus développé depuis un petit moment, c’est pour ça que je recommande Peazip maintenant (en plus des fonctionnalités supplémentaires).

          Écrit en Bépo selon l’orthographe de 1990

      • [^] # Re: Pour quel projet voter ?

        Posté par . Évalué à 4. Dernière modification le 28/06/16 à 14:20.

        Personnellement, j'aurais plutôt proposer la liste, une sous-listes de l'ensemble des logiciels libres utilisés par les institutions européennes. Cela aurait eu deux avantages :

        • Montrer combien les logiciels libres sont utilisés même au sein des institutions européennes.
        • Améliorer la sécurité de ces institutions.

        Tout cela augmenterai la probabilité qu'un député vote pour ce projet puisqu'il serait directement bénéficiaire.

        Ensuite seulement, on aurai pu proposer d'autres logiciels avec l'argent restant.

        Biensûr, tout cela ne tiens que si ces institutions utilisent assez de logiciels libres, ce que j'espère.

        • [^] # Re: Pour quel projet voter ?

          Posté par . Évalué à 4.

          une sous-listes de l'ensemble des logiciels libres utilisés par les institutions européennes.

          […]

          Tout cela augmenterai la probabilité qu'un député vote pour ce projet puisqu'il serait directement bénéficiaire.

          […]

          Biensûr, tout cela ne tiens que si ces institutions utilisent assez de logiciels libres, ce que j'espère.

          Je pense que les SI des différentes institutions européenne doivent utiliser pas mal de logiciels libres mais plutôt au niveau infrastructure centrale que postes clients.

          À mon avis, au niveau client (donc des logiciels qui pourraient parler aux députés) ça doit être Windows+Office+IE (et iOS, Android qui doivent commencer à arriver)

          • [^] # Re: Pour quel projet voter ?

            Posté par . Évalué à 4.

            mais plutôt au niveau infrastructure centrale que postes clients

            Raison de plus. Les députés n'ont pas forcément consience de cela.

        • [^] # Re: Pour quel projet voter ?

          Posté par . Évalué à 6.

          La liste est déjà construire à partir de logiciels utilisés par les institutions européennes. Cf. la page wiki qui contient des informations sur la liste.

          C'est bien de donner des conseils sur comment refaire ce genre d'initiatives en mieux, mais maintenant qu'il y a une proposition concrète de faite, pourquoi ne pas se renseigner sur les logiciels proposés, en discuter, et faire ton choix ?

      • [^] # Re: Pour quel projet voter ?

        Posté par . Évalué à 5.

        Il manque un peu d'information sur comment les logiciels ont été sélectionnés. Mais comme ma page wiki le mentionne, les logiciels ont été choisis à partir d'une liste de logiciels utilisés ou recommandé au sein de la commission européenne:

        The list has been prepared based on inventory of open source software used in the European Commission in 2014 as well as the catalogue of products available for use within the European Commission as of June 2016.

        (Je me permets de faire un peu de pub sur cette page wiki: si tu veux l'éditer pour ajouter des informations sur les différents logiciels, par exemple les briques logicielles qu'ils utilisent et leur niveau de sensibilité, ça serait très utile !)

        Du coup les recommendations du style "plutôt que X vous devriez avoir Y" ne sont pas forcément utiles dans le cadre de ce sondage précis : si les institutions de l'EU utilisent Drupal plutôt que Y, elles ont choisi de proposer Drupal à l'audit. Ça me semble être un choix raisonnable.

        Pareil pour FileZilla / WinSCP: si les systèmes des institutions de l'EU utilisent les deux, ça fait sens d'auditer les deux. (Ça fait sens aussi de consolider un système en limitant les redondances entre logiciels utilisés, mais en même temps c'est bien aussi de laisser du choix aux techniciens qui font leur boulot.)

        Bien sûr on peut discuter de s'il vaut mieux auditer des logiciels utilisés par l'EU ou utilisés par tout le monde et pas l'EU en particulier, des logiciels établis avec une grosse base d'utilisateurs ou plutôt des logiciels prometteurs qui seront plus utilisés demain, etc…. Mais là il y a une liste bien définie avec des justifications raisonnables donc je trouve que c'est utile de faire un choix dans ce qui est proposé—même s'il y a une option "Other choice" que tu peux utiliser si tu veux.

  • # 40 M€ ça laisse songeur...

    Posté par . Évalué à 3.

    … pourquoi ne pas utiliser ces sommes pour contribuer directement à ces projets?

    • [^] # Re: 40 M€ ça laisse songeur...

      Posté par (page perso) . Évalué à 10.

      C’est le budget alloué aux PP dans leur ensemble, pas à chacun individuellement… Et utiliser le budget de ce PP pour financer un audit d’un projet ce n’est pas y contribuer ? Je pense que si. Le PP sert à proposer (comme le nom l’indique c’est un projet pilote) en vue de montrer l’intérêt de le pérenniser en faisant entrer le projet au budget de manière permanente. C’est la marche à suivre en fait…

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.