Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) se joignent à la Cybersecurity and Infrastructure Security Agency (CISA), au Federal Bureau of Investigation (FBI) et l’Australian Cyber Security Centre (ACSC) pour publier des conseils en matière de cybersécurité sur la sécurité de la mémoire dans des projets de source ouverte critiques.
Ce rapport conjoint est un document de suivi faisant référence à des conseils précédemment publiés en faveur des feuilles de route pour la sécurité de la mémoire. Les nouveaux conseils s’appuient sur la notion selon laquelle les vulnérabilités liées à la sécurité de la mémoire représentent la catégorie la plus courante de vulnérabilités logicielles. Les nouveaux conseils recommandent aux fabricants de logiciels de créer des feuilles de route pour la sécurité de la mémoire, soit un plan pour éliminer les vulnérabilités liées à la sécurité de la mémoire dans leurs produits. Ceux-ci comprennent généralement les logiciels libres.
Le rapport conjoint offre un point de départ pour les feuilles de route pour la sécurité de la mémoire qui étudie le niveau de risque lié à la sécurité de la mémoire des logiciels libres sélectionnés.
La majorité des projets de source ouverte critiques analysés pour ce rapport ont potentiellement fait l’objet de vulnérabilités liées à la sécurité de la mémoire, même ceux qui ont été rédigés dans des langages permettant d’assurer la sécurité de la mémoire. Ces vulnérabilités sont attribuables à l’utilisation directe d’un langage ne permettant pas d’assurer la sécurité de la mémoire, d’une dépendance externe à l’égard de projets faisant la même chose ou d’exigences fonctionnelles de bas niveau visant à désactiver la sécurité de la mémoire. L’utilisation de langages de programmation permettant d’assurer la sécurité de la mémoire, le recours à des pratiques de codage sécurisées et à des tests de sécurité sont nécessaires pour corriger ces vulnérabilités.
Les personnes impliquées sont invitées à déployer les efforts nécessaires afin de bien comprendre la portée des risques liés à la sécurité de la mémoire. Les discussions sur les approches exemplaires à l’égard de la gestion de ces risques devraient se poursuivre.
Veuillez prendre connaissance du bulletin conjoint ci-annexé :