CERCLL

CercLL d'Entraide et Réseau Coopératif Autour des Logiciels Libres

  • Visioconférence

  • Languages Disponibles

  • Richard Stallman

  • Le Logiciel Libre

  • Priorité au Logiciel Libre!

  • L’ Agenda du Libre région PACA

  • Mobilizon Chapril

  • Chapril Mumble

  • Articles récents

  • Le Manchot

  • Écoutez

  • Lsdm liste des Gulls

  • Toolinux

  • Mastodon CercLL

  • Méta

  • créer un sondage

  • Un éditeur de texte collaboratif en ligne libre

  • Communication collaborative

  • Framatalk Visioconférence

  • Herbergement d’images

  • Suivez nous sur Diaspora

  • Ordinateur recyclé sous Debian

  • Nombres de visites sur ce site

    • 83 445 Visites
  • Entrez votre adresse mail pour suivre ce blog et être notifié par email des nouvelles publications.

    Rejoignez 216 autres abonnés

  • RSS CERCLL

  • Archives

Posts Tagged ‘Fondation Linux’

Avec sigstore, la Fondation Linux va authentifier les services open source

Posted by CercLL sur 12 mars 2021

Les composantes open source des logiciels sont de plus en plus ciblées par les pirates informatiques ces dernières années. Pour sécuriser la chaîne d’approvisionnement des logiciels, la Fondation Linux vient d’annoncer le projet sigstore permettant de signer les versions de logiciels, images de containers et code binaire. Un projet sur lequel travaillent Google, Red Hat et l’Université Purdue;

Sigstore enregistre les événements liés à la signature de logiciels dans un journal. (Crédit : Fondation Linux)

La Fondation Linux a lancé un service gratuit que les développeurs peuvent utiliser pour signer numériquement leurs versions et leurs autres objets logiciels, images de containers et code binaire. Le projet vise à renforcer la sécurité et l’auditabilité de la chaîne d’approvisionnement du logiciel open source, qui fait face ces dernières années à un nombre d’attaques sans précédent. Le code Sigstore sur lequel s’appuie ce service a été développé en partenariat avec Google, Red Hat et l’Université Purdue. Il sera maintenu à l’avenir par la communauté. Toutes les signatures et les événements liés seront stockés dans un journal public infalsifiable qui peut être monitoré pour découvrir de potentiels abus.

Sigstore utilise le protocole d’authentification OpenID pour attacher les certificats aux identités. Cela signifie qu’un développeur peut utiliser son adresse email ou son compte avec un fournisseur d’identité OpenID pour signer son logiciel. Cela diffère de la signature de code traditionnelle qui nécessite d’obtenir un certificat d’une autorité de certification (CA) qui est reconnue par les éditeurs ou responsables d’un écosystème logiciel particulier, par exemple Microsoft ou Apple. L’obtention d’un certificat de signature de code traditionnel nécessite de suivre des procédures spéciales qui incluent la vérification d’identité ou la participation à un programme de développement.

Une PKI géré par la Fondation Linux

Le client de signature sigstore génère une paire de clés éphémères de courte durée et contacte l’infrastructure de clé publique (PKI) sigstore qui sera gérée par la Fondation Linux. Le service de PKI vérifie que la connexion OpenID a bien été accordée et délivre un certificat basé sur la paire de clé qui sera utilisée pour signer le logiciel. L’événement de signature est enregistré dans le journal public de logs et les clés sont ensuite supprimées. Il s’agit ici d’une autre différence par rapport à la signature numérique existante parce que chaque événement de signature génère une nouvelle paire de clés et un certificat. Finalement, l’objectif est d’avoir une preuve publique qu’une identité particulière a signé un fichier à un moment donné. C’est à la communauté de bâtir ensuite des outils utilisant ces informations pour créer des politique et des mécanismes d’application.

« C’est simplement basé sur les autorités de certification X.509 normales, afin que chacun puisse ajouter sa propre autorité de certification racine », indique Dan Lorenc, membre de l’équipe de sécurité open source de Google et contributeur du projet. « Il est possible de se débarrasser de la nôtre si on ne veut pas lui faire confiance, chacun peut ajouter ses propres intermédiaires », a-t-il expliqué à CSO. Les développeurs peuvent utiliser le service PKI public et le journal de transparence ou bien ils peuvent déployer leur propre système de signature interne pour leur organisation. Le code du service de journalisation, baptisé Rekor, et celui de l’autorité de certification racine, Fulcio, sont en open source, disponible sur GitHub.

Contrer les attaques de référentiels de packages

De façon générale, la signature de code logiciel est utilisé pour fournir des garanties sur la provenance du logiciel, en apportant la preuve qu’une portion de code vient bien d’un développeur ou d’une organisation en qui l’utilisateur a confiance. Les solutions de liste blanche d’applications, par exemple, utilisent ces informations pour appliquer les politiques d’utilisation sur les logiciels et leur provenance lorsque l’un d’eux va s’exécuter sur un système particulier. Ces politiques peuvent être étendues de la même façon aux gestionnaires de packages. Tout logiciel moderne est construit à l’aide de composants open source tiers qui constituent souvent la majeure partie de leur base de code. C’est pour cette raison qu’il y a eu des attaques contre des référentiels de packages open source comme npm, PyPi ou Ruby Gems.

L’une des techniques d’attaques récemment révélée est la confusion de dépendance. Elle agit en trompant les gestionnaires de packages par l’installation d’une fausse variante d’un package local particulier. Pour se faire, elle publie un package ayant le même nom mais se présentant comme une version supérieure dans le référentiel public. Les politiques de sécurité construites autour des signatures numériques des logiciels peuvent aider à prévenir de telles attaques. Elles permettent aussi de contrer celles où le serveur de téléchargement ou de mise à jour utilisé par un développeur de logiciels est compromis avec des packages légitimes remplacés par des logiciels malveillants ou des attaques de type « man-in-the-middle » contre les mécanismes de mise à jour du logiciel.

Créer des outils de type HaveIBeenPwned à partir du journal

Il existe d’autres attaques, comme la compromission de l’ordinateur d’un développeur ou de l’infrastructure de construction des logiciels, ou encore l’injection de code malveillant au cours des premières étapes du développement logiciel, comme dans la récente attaque SolarWinds qui a impacté des milliers d’entreprises. La signature de code n’aurait pas nécessairement empêché cette attaque car la signature d’une version logicielle est l’une des dernières étapes avant la distribution et elle aurait été faite après l’injection de code. Cependant, un journal de transparence comme celui qui fait partie de sigstore pourrait fournir des informations précieuses aux enquêteurs sur un incident ou même conduire à la détection précoce d’une compromission.

Selon Luke Hinds, responsable de la sécurité chez Red Hat, le journal peut être utilisé pour bâtir des outils de monitoring similaires dans leur fonctionnement au service de notification de violation de données HaveIBeenPwned.com. Avec ce dernier, un utilisateur peut saisir son adresse e-mail et être averti s’il apparaît dans l’une des violations publiques qui ont été répertoriées. Les développeurs pourraient utiliser un tel outil pour être avertis chaque fois que leur adresse e-mail apparaît dans le journal sigstore. Si un tel événement se produit alors qu’ils savent qu’ils n’ont pas été actifs, c’est immédiatement un signal d’alarme indiquant que leur compte ou système a peut-être été compromis et que quelqu’un signe un logiciel en leur nom. « Le journal de transparence n’a pas la capacité de bloquer les attaques, mais il vous donne sur ces attaques des informations que vous n’avez tout simplement pas actuellement », a déclaré Luke Hinds à CSO. « Il assure la transparence autour de la supply chain logicielle ».

Des chercheurs de l’Université Purdue travaillent sur un prototype d’outil de surveillance qui utilisera le journal. Les responsables de ce projet espèrent qu’au fur et à mesure la communauté open source et les acteurs privés de la sécurité vont construire des outils autour du service sigstore. Par exemple, les entreprises évoluant dans le développement pourraient déployer le système et créer des contrôles de sécurité granulaires. « En soi, ce n’est pas un moteur d’application de politique que nous créons, mais les outils et primitives que vous pouvez utiliser pour bâtir l’un de ces moteurs d’application de politique », explique Dan Lorenc, membre de l’équipe de sécurité open source de Google. « Vous pouvez avoir 12 développeurs et décider que 7 d’entre eux doivent signer un artefact pour que celui-ci soit bon », cite-t-il en exemple. « Vous pouvez imaginer toutes sortes de scénarios comme celui-là. »

Source lemondeinformatique.fr

Posted in CercLL | Tagué: , , , , , , | Commentaires fermés sur Avec sigstore, la Fondation Linux va authentifier les services open source

La Fondation Linux crée une certification pour débutant

Posted by CercLL sur 3 décembre 2020

Il faut bien démarrer un jour et la Fondation Linux veut mettre le pied à l’étrier des débutants qui envisagent une carrière dans l’open source. Elle a donc lancer une certification accessible à ces personnes-là.

La Fondation Linux a présenté une certification pour débutant. (Crédit Photo : Pixabay)

Pour attirer plus de candidats vers les métiers de l’open source, la Fondation Linux a lancé une initiative originale de certification. Baptisée, LFCA (pour Linux Foundation Certified IT Associate), elle valide un niveau débutant sur les connaissances à avoir sur l’écosystème Linux. Cet examen coûtera 300 dollars.

Dans le détail, les candidats devront répondre à 60 questions, réparties en six catégories : principes fondamentaux de Linux, de l’administration système, du cloud computing, de la sécurité, de DevOps, et le support aux applications et aux développeurs. Le test se déroulera en ligne via une webcam et un partage d’écran. Pour préparer l’examen, les participants ne seront pas livrés à eux-mêmes. Il existe quelques cours fournis par la Fondation et il est possible aussi de suivre des MooC edX qui sont également gratuits et couvrent des sujets tels que Linux, le cloud et les bases de DevOps, ainsi que l’ingénierie de la fiabilité des sites.

Un tremplin pour d’autres certifications

Ceux qui terminent la formation et obtiennent le certificat pourront passer à la certification intermédiaire Linux Foundation Certified SysAdmin (LFCS), et à la certification avancée Linux Foundation Certified Engineer (LFCE). A noter que les personnes intéressées peuvent s’inscrire immédiatement, les premiers examens étant disponibles après le 15 janvier. Le test est bien évidemment en langue anglaise.

Cette initiative s’adresse principalement à ceux ou celles qui sont intéressés par une carrière dans l’IT et veulent obtenir une certification professionnelle pour démarrer. Le monde de l’open source recrute beaucoup et un rapport récent de la Fondation Linux montrait que 93% des entreprises avaient du mal à recruter des talents dans ce domaine. Un tel certificat devrait séduire plus de candidats…

Source lemondeinformatique.fr

Posted in CercLL | Tagué: , , , , | Commentaires fermés sur La Fondation Linux crée une certification pour débutant

Les cours d’introduction de la fondation Linux ont dépassé le million d’inscriptions

Posted by CercLL sur 2 octobre 2020

La plateforme edX indique que le cours d’introduction à Linux, qui en est à sa sixième année, est un de ses dix cours les plus populaires.

La fondation Linux a annoncé que son cours sur edX d’introduction à Linux, qui en est à sa sixième année, a enregistré plus d’un million d’inscriptions.

Ce cours ne demande aucune connaissance ou expérience préalable, souligne la fondation, et il vise à donner aux étudiants une bonne connaissance pratique de Linux, en utilisant à la fois l’interface graphique et la ligne de commande, dans les principales familles de distribution Linux.

Des exemples d’étudiants devenus pros

L’introduction à Linux «a aidé d’innombrables personnes à lancer leur carrière informatique», affirme la fondation, qui cite deux exemples: Jules Bashizi Irenge «a terminé le cours, puis a suivi une formation intermédiaire Essentials of System Administration et a reçu une certification Linux Foundation Certified SysAdmin (LFCS). Il est maintenant un doctorant qui a contribué à plus de 200 correctifs au noyau Linux. Fabian Pichardo a également suivi le cours d’introduction avec Essentials of System Administration et LFCS, et il est maintenant employé à plein temps en tant que développeur de logiciels.»

Chez edX, le PDG Anant Agarwal salue la Linux Foundation comme «un partenaire incroyable» qui a apporté des dizaines de cours à la plateforme. L’introduction à Linux est un des dix cours les plus populaires d’edX.

La fondation propose une vingtaine de cours de formation gratuits sur des projets open source, notamment Linux, Kubernetes, Hyperledger, etc. en partenariat avec edX.

Source zdnet.fr

Posted in CercLL | Tagué: , , , , | Commentaires fermés sur Les cours d’introduction de la fondation Linux ont dépassé le million d’inscriptions

La fondation Linux veut améliorer la sécurité de l’open source

Posted by CercLL sur 29 janvier 2020

La Linux Foundation annonce un partenariat avec l’Open Source Technology Improvement Fund (OSTIF) pour développer ensemble des audits de sécurité.

La fondation Linux annonce ce mardi «un partenariat stratégique pour améliorer la sécurité des logiciels open source, devenue critique pour l’infrastructure mondiale», avec l’Open Source Technology Improvement Fund (OSTIF).

Le logo de la fondation Linux

Les deux organisations vont développer ensemble des audits de sécurité «pour les communautés open source largement étendues». La Linux Foundation va ainsi augmenter ses travaux sur les audits de sécurité – elle indique avoir déjà investi plus d’un million de dollars dans une vingtaine de projets open source à ce jour – en y incluant des experts du réseau de l’OSTIF.

« Renforcer la confiance » dans l’open source

Ce dernier «partagera les ressources disponibles via le Community Bridge de la fondation Linux, un écosystème de financement et de soutien pour les développeurs et les projets, avec sa communauté pour aider à lever des fonds pour de nouveaux audits».

Amir Montazery, vice-président de l’OSTIF, salue dans le communiqué des deux organisations «la capacité de la fondation Linux à collecter des fonds auprès de toutes les industries pour soutenir des milliers de développeurs à travers le monde, sans précédent».

Dans le cadre de ce partenariat, la fondation nommera son vice-président des programmes stratégiques, Mike Dolan, au conseil consultatif de l’OSTIF. Ce dernier commente le rapprochement des deux entités comme une «collaboration naturelle qui, nous l’espérons, renforcera la confiance dans la chaîne de fourniture mondiale des logiciels open source qui sous-tend la société moderne».

Comme la fondation, l’OSTIF est un organisme à but non lucratif, qui repose sur des levées de fonds auprès du public et des dons d’entreprises et d’entités gouvernementales.

On trouve dans son conseil consultatif des représentants entre autres de Red Hat, Internet Security Research Group (l’ISRG est lui-même soutenu par Mozilla, l’EFF, Cisco, Akamai et l’université du Michigan), F-Secure, DuckDuckGo, OpenSSL (de son comité de management)…

Source zdnet.fr

Posted in CercLL | Tagué: , , , | Commentaires fermés sur La fondation Linux veut améliorer la sécurité de l’open source

La fondation Linux et l’ETSI signent un accord pour rapprocher leurs normes

Posted by CercLL sur 30 avril 2019

Les deux organismes à but non lucratif prévoient des initiatives « liées à l’interopérabilité et aux tests de conformité ».

La fondation Linux et l’ETSI (European Telecommunications Standards Institute), l’organisme de normalisation pour les télécoms, basé en France à Sophia-Antipolis, ont signé un protocole d’accord « pour rapprocher les normes et l’open source et favoriser leurs synergies ».

Logos de l’ETSI et de la fondation Linux

Objectif annoncé, « un partage plus rapide des informations et le déploiement de technologies ouvertes de réseau dans tout le secteur », avec des initiatives communes « liées à l’interopérabilité et aux tests de conformité ».

« Des déploiements plus rapides »

Pour Arpit Joshipura, directeur général Networking, Edge et IoT à la Linux Foundation, « cet accord avec l’ETSI montre qu’il est possible de parvenir à une harmonisation de la collaboration entre l’open source et les normes dans le secteur des réseaux. En travaillant ensemble, nous obtiendrons une fragmentation moindre, des déploiements plus rapides et une innovation simplifiée. »

Les deux organismes soulignent que « les domaines d’intérêt commun entre l’ETSI et la fondation Linux couvrent un large éventail de technologies, dont celles centrées sur la NFV (virtualisation des fonctions de réseau), MANO [NFV management and network orchestration], l’intelligence artificielle et l’edge computing ».

Organisme à but non lucratif, comme la fondation Linux, l’ETSI compte 850 organisations membres dans 64 pays, et est reconnu par l’Union européenne comme organisation européenne de normalisation.

Source zdnet.fr

Posted in CercLL | Tagué: , , | Commentaires fermés sur La fondation Linux et l’ETSI signent un accord pour rapprocher leurs normes

La fondation Linux accueille 34 nouveaux membres

Posted by CercLL sur 1 mars 2019

La fondation Linux dépasse à présent 1.000 membres. HP est un des nouveaux entrants.

La fondation Linux annonce que pas moins de 29 nouveaux membres « Argent » (« Silver » en VO) et 5 membres associés viennent de la rejoindre. L’organisation à but non lucratif rappelle que ses membres soutiennent le développement de ressources technologiques partagées, tout en « accélérant leur propre innovation via le leadership de l’open source et la participation à plusieurs des plus grandes réussites de projets open source comme Hyperledger, Kubernetes, Linux, Node.js et ONAP ».

Logo de la Linux Foundation

En 2018, souligne la fondation, elle a accueilli une nouvelle organisation adhérente par jour, et elle compte à présent plus de 1.000 membres. Parmi ses nouveaux membres Argent, on remarque notamment HP et STMicroelectronics.

« Une très large variété d’industries »

Jim Zemlin, le directeur exécutif de la Linux Foundation, a salué l’arrivée de ces 34 nouvelles entreprises:

« Ces organisations, qui représentent une très large variété d’industries à travers le monde, vont apporter des ressources et des connaissances de valeur à un écosystème de l’open source déjà en expansion. »

La fondation indique que beaucoup des nouveaux membres ont rejoint, outre l’organisation, des projets qu’elle soutient comme Automotive Grade Linux (qui réunit des constructeurs automobiles – Ford, Honda, Mercedes, Toyota et d’autres -, des sous-traitants du secteur et des entreprises tech – dont Amazon -, travaillant ensemble à une plateforme à base de Linux pour véhicule connecté), la Cloud Native Computing Foundation (CNCF, créée en 2015 pour promouvoir les conteneurs d’applis, par Google, Red Hat, Twitter, Huawei, Intel, Cisco, IBM, Docker, entre autres – c’est elle qui a en charge Kubernetes), la fondation Ceph (créée fin 2018 et dédiée à la plateforme libre de stockage dédié éponyme), etc.

Source zdnet.fr

Posted in Uncategorized | Tagué: , , , | Commentaires fermés sur La fondation Linux accueille 34 nouveaux membres

La Fondation Linux lance son programme ELISA

Posted by CercLL sur 25 février 2019

Le 21 février, la Fondation Linux a officiellement lancé son nouveau projet open source, destiné à créer une boîte d’outils et de pratiques pour développer et certifier des systèmes critiques.

Le projet Elisa (traduction « Enabling Linux in Safety Applications ») entend contrer les défaillances pouvant engendrer des dégâts environnementaux, des dégradations et des pertes en vies humaines.

Le nouveau programme open source se lance avec la collaboration de grandes entreprises de l’automobile, notamment BMW ou Toyota, et s’inscrit dans le sillon de l’Automotive Grade Linux (AGL) 5.0 lancé l’an dernier. Il compte également des acteurs comme Kuka, Linutronix, Amazon et même ARM. L’idée est de pouvoir imposer Linux comme base standardisée et ouverte des systèmes critiques de sécurité, peu importe l’industrie visée.

Le communiqué officiel peut être consulté sur le site de la Fondation (en anglais).

Site web : Elisa.tech

Source toolinux.com

 

Posted in Uncategorized | Tagué: , , | Commentaires fermés sur La Fondation Linux lance son programme ELISA

Stockage open source : la Fondation Linux annonce la création de la Fondation Ceph

Posted by CercLL sur 15 novembre 2018

La Fondation Linux a annoncé la création de la Fondation Ceph, Ceph étant une plateforme open source largement adoptée de stockage distribué.

Envoyé spécial, Berlin – La Fondation Linux se fend d’une nouvelle Fondation qui chapeautera la plateforme open source Ceph. Baptisée Fondation Ceph, elle doit faire progresser le stockage open source.

Une des clés de voûte des conteneurs et d’OpenStack

Si la technologie n’est pas très connue du grand public, elle fournit la plateforme sous-jacente indispensable aux déploiements dee conteneurs et à OpenStack. Les deux tiers des utilisateurs de la suite logicielle OpenStack feraient ainsi confiance à Ceph.

On peut légitimement dire que l’envol de Ceph s’est fait avec l’utilisation accrue de conteneurs, d’OpenStack de l’IA et du Machine Learning.

Ceph permet aux fournisseurs de cloud et aux entreprises de réduire le coût de stockage des données dans les clouds privés, tout en les aidant à mieux organiser et à accéder à leurs informations.

Ceph présente l’avantage de fournir aux applications une haute disponibilité avec un accès en modes bloc ou fichier, ou encore en stockage d’objets distribué au moyen de RADOS (Reliable Autonomic Distributed Object Store).

30 membres dès sa création

La Fondation Linux annonce que plus de 30 leaders mondiaux de la sphère IT ont rejoint la Fondation Ceph.

Parmi les membres fondateurs, on trouve SUSE, Amihan, Canonical, China Mobile, DigitalOcean, Intel, OVH, ProphetStor, Red Hat, SoftIron, Western Digital, XSKY Data Technology et ZTE.

«Ceph a une longue expérience du succès dans le domaine de la gestion efficace de la demande en stockage de données à forte croissance», estime Jim Zemlin, directeur exécutif de la Linux Foundation. «Dans le cadre de la Linux Foundation, la Ceph Foundation pourra mobiliser les investissements d’un groupe beaucoup plus large pour aider à soutenir l’infrastructure nécessaire au maintien du succès et de la stabilité de l’écosystème Ceph

De son côté, SUSE, par la voix de Lars Marowsky-Brée, ingénieur distingué, estime « qu’en tant que leader technologique permettant des technologies de pointe avec une infrastructure de données, nous comprenons les normes ouvertes, les logiciels ouverts et les écosystèmes ouverts, et croyons en eux. La création de la Fondation Ceph constitue une étape importante que nous sommes fiers de soutenir.

Source silicon.fr

Posted in Uncategorized | Tagué: , , , , , | Commentaires fermés sur Stockage open source : la Fondation Linux annonce la création de la Fondation Ceph

 
%d blogueurs aiment cette page :