Les logiciels libres sont-ils assez sûrs pour être utilisés dans des contextes critiques : nucléaire, aviation, armement, etc. ? C'est la question qu'a posée le département américain de la sécurité intérieure (DHS) à la société Coverity et à l'université de Standford. Depuis mars 2006, le département américain de la sécurité intérieure finance un programme baptisé Open Source Hardening Project dont l'objectif est de découvrir les failles critiques des logiciels open source les plus populaires afin de les "durcir". Sur 250 projets testés - soit plus de 50 millions de lignes de code - Coverity a découvert environ une faille toutes les 1 000 lignes de code et 7 826 problèmes ont été résolus depuis 2006.
Sur les 250 projets passés aux cribles, seulement onze ont reçu le niveau le plus élevé de confiance (Rung 2). Parmi les plus connus, on peut citer les langages Perl, PHP, et Python, le serveur de messagerie Postfix, le gestionnaire de partage de ressources en réseau Samba, le logiciel de sauvegarde Amanda et encore le réseau privé virtuel OpenVPN. Le niveau Rung 2 ne signifie pas que ces logiciels sont exempts de failles, mais plutôt que toutes les failles critiques découvertes ont été colmatées et que la communauté des développeurs est particulièrement proactive lorsqu'une nouvelle faille est découverte. Dans le cas de Samba par exemple, 228 failles sur 236 ont été corrigées depuis 2006. Enfin, 173 projets sont actuellement au niveau 0 (Rung 0) et 86 au niveau 1 (Rung 1). D'ici quelques mois, Firefox et Apache (Rung 1) pourraient rejoindre les heureux élus de Rung 2.
Lire aussi
Un Linux ultra-sécurisé pour le Ministère de la Défense
Les hackers s'en prennent à l'Open Source
Dix sites pour renforcer la sécurité de votre système d'information