• # Logiciel libre, sureté logiciel et la mythologie des balles en argent...

    Posté par (site web personnel) . En réponse à la dépêche Nouvelles failles de sécurité de Mozilla et Firefox. Évalué à 6.

    Une fois de plus, il est important de noter que l'argumentaire le plus valide est l'argumentaire de la liberté et non celui de la technique. Le logiciel libre possède quelques avantages complémentaires au logiciel propriétaire sur les questions de sécurité (la *possibilité* d'étudier le logiciel et son code source). Mais cela n'est pas une garantie, la sécurité (sureté) logiciel est une chose difficile par le fait même de la structure et l'architecture des ordinateurs et de la complexité. Il n'existe pas de recettes miracles pour résoudre les vulnérablités mais un ensemble de règles pour *limiter* les risques. Il me semble que certains CSIRTs (comme le CERT(tm)) sont dans les débuts de réflexion sur le sujet alors que le sujet est couvert de plus en plus par la littérature (on peut regarder les écrits de John Viega (http://www.viega.org/(...)) sur le sujet ou les ouvrages comme "Secure Coding" (0-596-00242-4) ou "Exploiting Software" (0201786958)).

    Le logiciel libre aide plus pour la sécurité du logiciel par ses libertés mais n'est pas solution miracle (il ne doit pas en exister puisque ce sont des miracles ;-), Le logiciel libre apporte par ses libertés un outil fabuleux pour s'instruire, évoluer et programmer des logiciels plus sures et permet souvent d'éviter la sécurité par l'obscurité. Le logiciel libre libre est un outil pour améliorer la sécurité par le fait de ses 4 fabuleuses libertés. Ce *n'est pas* l'équation "logiciel libre = sûreté en ingénierie logiciel"...