Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Thierry Carrez, Openstack Foundation : Nous attendons un second souffle pour remettre la Sécurité au premier plan

juin 2017 par Marc Jacob

Durant le Congrès de l’OW2, la rédaction de GS Mag a rencontré Thierry Carrez, VP of Engineering Openstack Foundation afin qu’il explique les actions menées par la fondation dans le domaine de la sécurité. Aujourd’hui la fondation attend un second pour reprendre le flambeau de Robert Clark qui avait été à l’initiative de nombreuses actions en ce domaine.

GS Mag : Quelles actions ont été menées par l’OpenStack Foundation en matière de sécurité ?

Thierry Carrez : Nous avons une équipe qui coordonne tous les aspects Sécurité. Historiquement, nous travaillons uniquement sur la réponse à incidents en particulier sur la gestion des vulnérabilités. Cette équipe coordonne aujourd’hui la distribution de la gestion des patchs. Par la suite, d’autres projets du monde libre ont repris notre approche.

Aujourd’hui, nous essayons de réduire le nombre de vulnérabilités avant qu’elles soient découvertes. Une équipe a été montée chez différents utilisateurs qui collaborent sur des audits, des analyses fonctionnelles... c’est Robert Clark qui a été à l’initiative de la création de cette équipe. Elle a édité en 2016 un Security Guide pour déployer Openstack de façon sécurisé . Cette équipe a travaillé aussi sur une libraire appelé « Bandit » pour tester de façon statique les applications. Elle permet d’éliminer les vulnérabilités les plus critiques. De plus, des audits sont réalisés par les utilisateurs. Enfin, des analyses formelles des flux de données ont été aussi réalisées par cette équipe. Cette équipe a écrit un outil de test d’interface pour vérifier si des erreurs de codages peuvent occasionner des vulnérabilités.

Au niveau technologique, nous nous appuyons surtout sur des avancées d’autres OS du monde du libre comme Linux, ou encore des techniques de virtualisation... elles sont intégrées afin de générer une amélioration du niveau de sécurité.

Au niveau du Cloud, nous avons un partenariat avec CityCloud qui ont des data Center surtout en Scandinavie Norvège, Suède, Danemark... et nous avons aussi édité unlivre blanc pour développer un Cloud sécurité.

GS Mag : Et pour l’avenir qu’elles sont vos projets en matière de sécurité ?

Thierry Carrez : Nous sommes dans l’attente d’un second souffle pour relancer le Guide et les autres actions du fait du départ de Robert Clark. Il faudrait que son travail soit repris...




Voir les articles précédents

    

Voir les articles suivants