Les développeurs open source ne sont pas prêts à faire des efforts pour sécuriser leur code. Il faut donc employer des spécialistes.
Il est visiblement temps d’agir. Google vient d’annoncer, avec le concours de la Linux Foundation, le paiement à temps plein de deux développeurs pour colmater les failles dans le noyau de Linux. Ce code est l’un des plus diffusés sur la planète. Il se retrouve notamment dans tous les téléphones Android et dans la plupart des objets connectés.
Le dernier rapport annuel des développeurs open source (FOSS) avait montré, en effet, que l’aspect sécurité était souvent relégué au second plan, les contributeurs étant plus attirés par la création de nouvelles fonctionnalités. En moyenne, ils ne consacrent qu’un peu plus de 2 % de leur temps à la sécurité et ils ne sont pas prêts à faire plus d’efforts, estimant que c’est une « corvée épuisante » et un « obstacle procédural insupportablement ennuyeux ».
Cette situation n’est pas très étonnante. Le créateur de Linux, Linus Torvalds, avait plusieurs fois montré publiquement son dédain pour la sécurité informatique. Mais compte tenu de l’ubiquité de cette plateforme, il n’est plus possible d’en faire abstraction. Et comme Google est directement concerné par ce sujet au travers d’Android, il est logique qu’il endosse le rôle de mécène.