Seth Michael Larson : Le travail de sécurité open source n'est pas « spécial »

Le discours principal a été prononcé lors de la journée communautaire OpenSSF NA 2025 à Denver, Colorado, et une vidéo enregistrée sur YouTube sera disponible plus tard. Le discours a été prononcé en tant que résident sécurité-développeur au sein de la Python Software Foundation, un rôle parrainé par Alpha-Omega. Le logiciel open source est incroyable, permettant aux utilisateurs de contribuer de manière significative aux projets, mais la sécurité est spéciale et souvent gérée par un petit groupe d'experts. Les maintainers de projets open source, en particulier les plus petits, ne sont pas nécessairement des experts en sécurité et se sentent isolés et contraints de gérer le travail de sécurité pour protéger leur projet et leurs utilisateurs. Cette isolation engendre une culture de la peur, et les maintainers ne voient souvent pas comment les autres projets gèrent les problèmes de sécurité. Les petits projets sont façonnés par leurs outils, et les outils de sécurité introduisent souvent une asymétrie en créant du travail sans résoudre les problèmes. L'orateur propose un nouveau modèle de contributions à la sécurité open source, où le travail de sécurité est effectué par des individus de confiance qui ne sont pas nécessairement des maintainers. Ce modèle vise à briser l'hypothèse que les maintainers sont les seuls à pouvoir faire du travail de sécurité, en particulier pour les petits projets. Pour rendre ce modèle réussi, nous devons bâtir la confiance entre les contributeurs et les projets, et le travail de sécurité ne peut pas tout reposer sur les maintainers. Nous pouvons tous utiliser nos voix et nos expériences pour bâtir une culture de sécurité plus positive et plus saine, et surmonter l'isolement inhérent au travail de sécurité.