{"id":1145699,"date":"2024-02-12T16:50:33","date_gmt":"2024-02-12T18:50:33","guid":{"rendered":"https:\/\/teknomers.com\/fr\/cadre-de-publication-cisa-et-openssf-pour-la-securite-du-referentiel-de-packages\/"},"modified":"2024-02-12T16:50:37","modified_gmt":"2024-02-12T18:50:37","slug":"cadre-de-publication-cisa-et-openssf-pour-la-securite-du-referentiel-de-packages","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/cadre-de-publication-cisa-et-openssf-pour-la-securite-du-referentiel-de-packages\/","title":{"rendered":"Cadre de publication CISA et OpenSSF pour la s\u00e9curit\u00e9 du r\u00e9f\u00e9rentiel de packages"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">12 f\u00e9vrier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">L&#8217;actualit\u00e9 des hackers<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 des infrastructures \/ Cha\u00eene d&#8217;approvisionnement logicielle<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Cadre-de-publication-CISA-et-OpenSSF-pour-la-securite-du.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>L&#8217;Agence am\u00e9ricaine de cybers\u00e9curit\u00e9 et de s\u00e9curit\u00e9 des infrastructures (CISA) a annonc\u00e9 son partenariat avec le groupe de travail sur la s\u00e9curisation des r\u00e9f\u00e9rentiels de logiciels de l&#8217;Open Source Security Foundation (OpenSSF) pour publier un nouveau cadre pour s\u00e9curiser les r\u00e9f\u00e9rentiels de packages.<\/p>\n<p>Appel\u00e9 le <strong>Principes de s\u00e9curit\u00e9 du r\u00e9f\u00e9rentiel de packages<\/strong>le cadre <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2024\/02\/08\/cisa-partners-openssf-securing-software-repositories-working-group-release-principles-package\" target=\"_blank\">objectifs<\/a> \u00e9tablir un ensemble de r\u00e8gles fondamentales pour les gestionnaires de packages et renforcer davantage les \u00e9cosyst\u00e8mes logiciels open source.<\/p>\n<p>&#8220;Les r\u00e9f\u00e9rentiels de packages se trouvent \u00e0 un point critique de l&#8217;\u00e9cosyst\u00e8me open source pour aider \u00e0 pr\u00e9venir ou att\u00e9nuer de telles attaques&#8221;, OpenSSF <a rel=\"nofollow noopener\" href=\"https:\/\/openssf.org\/blog\/2024\/02\/08\/openssf-securing-software-repositories-working-group-releases-principles-for-package-repository-security\/\" target=\"_blank\">dit<\/a>.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1707338666_510_La-Coalition-mondiale-et-les-geants-de-la-technologie-sunissent.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>\u00ab M\u00eame des actions simples, comme avoir une politique document\u00e9e de r\u00e9cup\u00e9ration de compte, peuvent conduire \u00e0 de solides am\u00e9liorations de s\u00e9curit\u00e9. Dans le m\u00eame temps, les capacit\u00e9s doivent \u00eatre \u00e9quilibr\u00e9es avec les contraintes de ressources des r\u00e9f\u00e9rentiels de packages, dont beaucoup sont exploit\u00e9s par des organisations \u00e0 but non lucratif.<\/p>\n<p>Notamment, les principes d\u00e9finissent quatre niveaux de maturit\u00e9 de s\u00e9curit\u00e9 pour les r\u00e9f\u00e9rentiels de packages dans quatre cat\u00e9gories d&#8217;outils d&#8217;authentification, d&#8217;autorisation, de capacit\u00e9s g\u00e9n\u00e9rales et d&#8217;interface de ligne de commande (CLI)\u00a0:<\/p>\n<ul>\n<li><strong>Niveau 0<\/strong> &#8211; Ayant tr\u00e8s peu de maturit\u00e9 en mati\u00e8re de s\u00e9curit\u00e9.<\/li>\n<li><strong>Niveau 1<\/strong> &#8211; Avoir une maturit\u00e9 de base en mati\u00e8re de s\u00e9curit\u00e9, comme l&#8217;authentification multifacteur (MFA) et permettre aux chercheurs en s\u00e9curit\u00e9 de signaler les vuln\u00e9rabilit\u00e9s<\/li>\n<li><strong>Niveau 2<\/strong> &#8211; Avoir une s\u00e9curit\u00e9 mod\u00e9r\u00e9e, qui inclut des actions telles que l&#8217;exigence de MFA pour les packages critiques et l&#8217;avertissement aux utilisateurs des vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 connues<\/li>\n<li><strong>Niveau 3<\/strong> &#8211; Avoir une s\u00e9curit\u00e9 avanc\u00e9e, qui n\u00e9cessite MFA pour tous les responsables et prend en charge la provenance de la construction pour les packages<\/li>\n<\/ul>\n<p>Tous les \u00e9cosyst\u00e8mes de gestion de paquets devraient tendre vers au moins le niveau 1, selon les auteurs du framework Jack Cable et Zach Steindler. <a rel=\"nofollow noopener\" href=\"https:\/\/repos.openssf.org\/principles-for-package-repository-security\" target=\"_blank\">note<\/a>.<\/p>\n<p>L\u2019objectif ultime est de permettre aux r\u00e9f\u00e9rentiels de packages d\u2019auto-\u00e9valuer leur maturit\u00e9 en mati\u00e8re de s\u00e9curit\u00e9 et de formuler un plan pour renforcer leurs garde-fous au fil du temps sous la forme d\u2019am\u00e9liorations de la s\u00e9curit\u00e9.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tcepdHrZ\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Apres-le-retrait-du-FBI-les-operateurs-de-KV-Botnet-changent.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Les menaces de s\u00e9curit\u00e9 \u00e9voluent avec le temps, tout comme les capacit\u00e9s de s\u00e9curit\u00e9 qui r\u00e9pondent \u00e0 ces menaces&#8221;, a d\u00e9clar\u00e9 OpenSSF.  &#8220;Notre objectif est d&#8217;aider les r\u00e9f\u00e9rentiels de packages \u00e0 fournir plus rapidement les capacit\u00e9s de s\u00e9curit\u00e9 qui contribuent le mieux \u00e0 renforcer la s\u00e9curit\u00e9 de leurs \u00e9cosyst\u00e8mes.&#8221;<\/p>\n<p>Cette \u00e9volution intervient alors que le Centre de coordination de la cybers\u00e9curit\u00e9 du secteur de la sant\u00e9 (HC3) du minist\u00e8re am\u00e9ricain de la Sant\u00e9 et des Services sociaux a mis en garde contre les risques de s\u00e9curit\u00e9 r\u00e9sultant de l&#8217;utilisation de logiciels open source pour la tenue des dossiers des patients, la gestion des stocks, les prescriptions et la facturation.<\/p>\n<p>&#8220;Si les logiciels open source constituent le fondement du d\u00e9veloppement logiciel moderne, ils constituent aussi souvent le maillon le plus faible de la cha\u00eene d&#8217;approvisionnement des logiciels&#8221;, a-t-il d\u00e9clar\u00e9 dans un communiqu\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/www.hhs.gov\/about\/agencies\/asa\/ocio\/hc3\/products\/index.html#threat-briefs\" target=\"_blank\">rapport sur les menaces<\/a> publi\u00e9 en d\u00e9cembre 2023.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/02\/cisa-and-openssf-release-framework-for.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80212 f\u00e9vrier 2024\ue804L&#8217;actualit\u00e9 des hackersS\u00e9curit\u00e9 des infrastructures \/ Cha\u00eene d&#8217;approvisionnement logicielle L&#8217;Agence am\u00e9ricaine de cybers\u00e9curit\u00e9 et de s\u00e9curit\u00e9 des infrastructures (CISA) a annonc\u00e9 son partenariat avec le groupe de travail sur la s\u00e9curisation des r\u00e9f\u00e9rentiels de logiciels de l&#8217;Open Source Security Foundation (OpenSSF) pour publier un nouveau cadre pour s\u00e9curiser les r\u00e9f\u00e9rentiels de packages. Appel\u00e9 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1145700,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,4176,4805,4168,4165,4161,200267,4159,4171,200271,200268,200269,200270,229600,7309,185,11496,7308,1835,128318,4172,4169,4166,4164],"class_list":["post-1145699","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-cadre","tag-cisa","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-openssf","tag-packages","tag-pour","tag-publication","tag-referentiel","tag-securite","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1145699","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1145699"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1145699\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1145700"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1145699"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1145699"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1145699"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}