• [^] # Re: ZDNet

    Posté par . En réponse à la dépêche Revue de presse de l'April pour la semaine 31 de l'année 2021. Évalué à 6.

    D'abord le titre est incompréhensible en français : qu'est que ça veut dire "la chaîne d'approvisionnement logicielle" ? c'est de la traduction mot à mot de l'anglais mais en français l'expression n'est pas utilisée à ma connaissance. L'article fait allusion à l'achat de logiciel ou la sous-traitance logicielle.
    Ensuite, concernant le logiciel open-source, les propos de l'auteur laissent entendre que le directeur de la Linux fondation David A. Wheeler lui-même reconnait que le développement en open source n'aurait pas permis de détecter la faille, car la revue du code source n'aurait été d'aucune aide. Cette dernière affirmation est apparemment vraie, mais ne reprend pas en substance les propos de David A. Wheeler.
    En lisant l'article de Zdnet auquel il est fait référence, on s'aperçoit que David A. Wheeler dit quasiment le contraire : certes la revue de code source source n'aurait pas aidé (pour la raison que généralement seul le code inséré ou modifié est revu lors du processus de développement). Pour déceler un malware inséré dans le code, il faut auditer l'intégralité du code, ce que ne permet pas le code source fermé. Et David A. Wheeler de conclure "If we needed further evidence that obscurity of software source code doesn't automatically provide security, this is it."
    Bref, article un peu limite quand même.
    https://www.zdnet.com/article/solarwinds-defense-how-to-stop-similar-attacks/