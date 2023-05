Sysdig décrypte les mésaventures des utilisateurs de GitHub

février 2023 par Mike Isbitski, directeur Cybersecurity Strategy chez Sysdig

Les membres contributeurs du projet open source git ont déployé un changement de code en juin 2022. Le changement a été effectué pour des raisons de performance et pour réduire la dépendance au projet gzip vieillissant. GitHub a été contraint de l’annuler en janvier 2023. Ce scénario met en évidence l’importance des logiciels libres, l’imbrication des chaînes d’approvisionnement et les répercussions sur la sécurité des livraisons.

De tels changements ont des répercussions négatives importantes. Ils peuvent nuire à la stabilité des processus de construction, de livraison et de publication des organisations. Cet événement survient à un moment où de nombreuses organisations ont de sérieuses inquiétudes quant au risque lié à la chaîne d’approvisionnement des logiciels.

Le problème du gzip de GitHub nous rappelle que les offres de services commerciaux utilisent toujours des bases open source, et que l’open source fait partie intégrante des chaînes d’approvisionnement en logiciels modernes. Il faut garder à l’esprit les différences fondamentales entre les projets open source et le métier de vendeur ou d’éditeur indépendant de logiciels. Les vendeurs devraient-ils jouer un rôle plus actif dans le développement et la maintenance des logiciels à code source ouvert ? Y a-t-il un partage des responsabilités entre la communauté open source et les partenaires commerciaux ? Ces questions doivent être abordées dans le cadre du dilemme de la sécurité de la chaîne d’approvisionnement des logiciels.

En conclusion : la compréhension du problème gzip de GitHub est fondamentale pour sécuriser la livraison continue et l’intégrité de la chaîne d’approvisionnement des logiciels.