Il y a quelques minutes, The Linux Foundation a signalé de la naissance du projet Red Team, un projet qui incubera les outils de cybersécurité open source pour prendre en charge l'automatisation de la gamme, uCapacités de pentesting dans les conteneurs, quantification du risque binaire et validation et avancement des standards. L'objectif de Red Team Project est de rendre les logiciels open source encore plus sécurisés lorsque nous les utilisons. Ils utiliseront la même technique, les mêmes outils et procédures que ceux utilisés par les utilisateurs malveillants, mais de manière constructive pour fournir évaluations et contribuer à rendre les projets open source plus sécurisés.
Jason Callaway de Google décrit le projet Red Team et son histoire avec Fedora Red Team SIG en expliquant comment il a créé Fedora Red Team avec certains collègues Red Hat de Def Con 25. Ils avaient des outils de cartographie qu'ils voulaient construire et ont été inspirés par le projet. Cyber ITL par Mudge et Sarah Zatko. L'idée de Callaway était de mettre en œuvre sa méthodologie dans un projet open source.
Red Team Project fait ses premiers pas
La première chose à faire est de tout emporter sur GitHub, de préparer une page Web et d'apparaître sur les réseaux sociaux, tels que Twitter ou Facebook. Et quelque chose de plus important encore, commencez à travailler avec les codes. En ce moment ils forment toujours un comité de pilotage technique, on peut donc dire que le Red Team Project est né, mais qu'il fait ses premiers pas ou n'a pas encore appris à marcher avant de courir.
Jason dit que le l'open source est important principalement parce qu'il pense que c'est la bonne façon de faire les choses. La cybersécurité est un problème mondial qui peut nuire aux personnes, aux entreprises et aux gouvernements, ils veulent donc rendre l'open source plus sûr. Callaway dit que de nombreux collègues y travaillent et qu'ils travaillent côte à côte avec des géants de la technologie. Il ne mentionne pas qui, mais ils ont probablement parlé à des entreprises comme Google (il est ingénieur client pour la société du moteur de recherche), Apple, Microsoft ou pourquoi pas Canonical.
L'arrivée du Red Team Project ne peut être qu'une bonne nouvelle. Comme nous l'avons expliqué, ce qu'ils feront est attaquer les systèmes connus pour trouver des bogues, mais ne les exploitera pasils informeront plutôt leurs développeurs. De cette façon, un utilisateur malveillant verra comment les portes sont fermées et ne pourra pas compromettre notre sécurité, ou c'est l'idée.
Que pensez-vous de l'arrivée du projet Red Team pour sécuriser les logiciels open source?