À propos de la faille de sécurité Log4j et de l'utilisation par Calderade technologies open-source
21 décembre 2021
Le 9 décembre 2021, une vulnérabilité a été signalée pour les systèmes utilisant Apache Log4j version 2.14.1 ou inférieure - la CVE-2021-44228, surnommée "Log4Shell". Nous souhaitons assurer à tous nos clients et partenaires que les solutions Caldera n'utilisent pas Log4j, que ce soit dans nos codes ou dans ceux de tiers, et que nous ne sommes donc pas concernés par cette vulnérabilité. Cependant, nous voulions profiter de l'occasion pour discuter de l'utilisation des technologies open-source dans nos solutions, et de la façon dont nous travaillons pour améliorer la sécurité de nos utilisateurs.
Qu'est-ce qu'un logiciel libre ?
Le modèle open-source est un modèle de développement logiciel décentralisé qui encourage la collaboration ouverte, afin de favoriser l'innovation et l'amélioration. L'open source signifie que le code original n'est pas crypté sous quelque forme que ce soit et que tout utilisateur peut modifier le code en fonction de ses besoins. Le logiciel libre présente de nombreux avantages, notamment des coûts de logiciel moins élevés, un soutien abondant de la part de la communauté, la possibilité d'évoluer et de se consolider, et bien d'autres encore.
Cependant, il est important de garder à l'esprit que les logiciels libres ne sont pas nécessairement gratuits et qu'ils ne sont pas nécessairement compatibles avec tous les systèmes d'exploitation. La définition d'un logiciel libre est "libre" dans le sens où il donne la liberté à ceux qui l'utilisent.
Les technologies open-source sont utilisées par une large communauté qui contribue à les améliorer au fil du temps, ce qui explique que la plupart des vulnérabilités soient détectées et corrigées rapidement, dans l'intérêt de la majorité. Par exemple, Apache Log4j, mentionné ci-dessus, est une bibliothèque de journalisation open-source utilisée dans des millions de projets Java, y compris un pourcentage substantiel d'applications d'entreprise et de services en nuage.
En résumé, l'open source est guidé par un esprit de collaboration, et les entreprises qui bénéficient des technologies open source doivent également rendre à la communauté ce qu'elle leur a donné.
Caldera et l'utilisation de technologies à source ouverte
Caldera ne repose pas sur le langage Java et n'est donc pas concerné par la faille de sécurité de Log4Shell. Cependant, nous nous appuyons sur d'autres technologies open-source pour offrir la meilleure expérience possible à nos utilisateurs et contribuer à la communauté open-source.
Arnaud Fabre, chef de produit à Caldera, déclare : "L'utilisation de programmes de qualité qui ont déjà été développés, testés et soutenus par la communauté ou des sociétés tierces nous permet de nous concentrer sur l'innovation et d'ajouter de la valeur à nos systèmes. Par exemple, nous nous appuyons sur le moteur Ghostscript PDF/PS d'Artifex, qui est un moyen de rémunérer les développeurs dévoués qui travaillent sur un projet open-source".
Il poursuit : "Au sein de l'équipe Caldera , nous avons plusieurs Linux et des experts en logiciels libres qui contribuent régulièrement à la communauté en ligne. Nous les encourageons activement à conclure des contrats avec des universités locales pour former les développeurs et les contributeurs de logiciels libres de demain. En outre, en développant des logiciels pour Linux, nous incitons notre communauté à utiliser elle-même des technologies à code source ouvert. Enfin, nous investissons dans plusieurs technologies libres telles que GitLab pour améliorer nos processus internes à Caldera."
Comment Caldera améliore-t-il votre sécurité ?
Caldera s'engage à fournir des produits et des services qui répondent à vos besoins de production, tant en termes d'efficacité que de sécurité.
Quelques exemples de dispositifs de sécurité :
- Le soutien de plateformes fiables (Linux & macOS) pour minimiser les risques
- La possibilité de verrouiller l'utilisation pour les administrateurs (utilisateurs root ou sudo)
- La possibilité de verrouiller l'utilisation locale (avec des mots de passe sur EasyMedia)
De plus, notre plan d'assistance et de maintenance CalderaCare permet à nos utilisateurs de rester informés des dernières mises à jour et améliorations, afin que vous puissiez produire en toute sérénité. En savoir plus sur CalderaCare.