scroll

Drupal renforce sa sécurité en intégrant sa base d'avis de sécurité au sein de l'OSV Database

Sommaire

Introduction

La sécurité est un pilier fondamental dans le développement de solutions open source. Drupal, reconnu pour sa rigueur dans la gestion de la sécurité, poursuit ses efforts en rendant ses avis de sécurité disponibles dans l’OSV (Open Source Vulnerabilities) Database de Google. Cette base de données centralisée joue un rôle croissant dans la détection, la prévention et la compréhension des vulnérabilités logicielles au sein des communautés open source.

Qu'est-ce que l'OSV Database ?

Développée par Google, l’OSV Database est un standard ouvert pour fournir des informations structurées sur les vulnérabilités dans les projets open source. Elle facilite l’intégration avec des outils automatisés de scanning de vulnérabilités, comme osv-scanner, qui peuvent identifier rapidement les failles de sécurité connues dans les projets open source. OSV agit également comme une source centralisée à laquelle peuvent se référer différents projets comme GitHub, PyPI, Rust, npm, Go, etc.

Pourquoi intégrer OSV dans l'écosystème Drupal ?

L’intégration de Drupal à cette base a pour objectifs principaux :

  • Augmenter la visibilité des vulnérabilités affectant Drupal au-delà de son propre écosystème.
  • Permettre aux développeurs utilisant des dépendances Drupal dans d'autres projets open source d'être alertés automatiquement.
  • S’inscrire dans une logique DevSecOps moderne où la sécurité est intégrée dès les premières phases de développement.

Cette décision est alignée sur le principe de sécurité partagée de l’open source moderne et reflète une volonté de collaboration accrue avec les standards de sécurité globaux.

Fonctionnement de la publication automatique

L’équipe de sécurité Drupal utilise un outil open source appelé osv.dev pour générer automatiquement des rapports JSON formatés dès qu’un avis de sécurité est publié sur drupal.org. Le processus consiste en :

  • Récupération des données de sécurité publiées.
  • Génération automatique d’un fichier JSON structuré conforme au format OSV.
  • Publication de ce fichier sur GitHub, dans le repository drupal/osv.
  • Intégration automatique dans la base OSV publique après validation.

Ceci permet une synchronisation presque en temps réel entre Drupal Security Advisories et la base OSV.

Impacts pour les utilisateurs et développeurs Drupal

Les principaux bénéfices sont :

  • Meilleure intégration avec les outils de scanning de sécurité : les administrateurs système ou développeurs DevOps peuvent détecter automatiquement les failles connues dans leurs projets Drupal.
  • Plus grande transparence : chaque vulnérabilité est mieux documentée et présentée selon un standard interopérable.
  • Renforcement des bonnes pratiques DevSecOps : avec une meilleure contextualisation dans les CI/CD pipelines.

Exemples concrets d’utilisation

Supposons qu’un développeur crée un site en PHP avec plusieurs dépendances, dont Drupal. Grâce à l’outil osv-scanner, il peut :

  • Scanner son projet en local contre toutes les vulnérabilités connues dans OSV.
  • Être automatiquement notifié lorsqu’un composant Drupal installé fait l’objet d’un avis de sécurité.
  • Planifier des mises à jour plus rapidement tout en documentant les vulnérabilités détectées.

Ceci représente un gain de temps significatif et améliore le niveau général de cybersécurité de la solution finale.

Quel avenir pour la veille de sécurité open source ?

La tendance actuelle dans les communautés open source est à l’harmonisation des formats d’alerte et à leur interopérabilité. OSV est un acteur majeur dans ce mouvement. L’intégration de Drupal est une bonne nouvelle car elle montre l’intérêt d’une gestion proactive et collaborative des vulnérabilités. Demain, il est probable que d’autres CMS rejoignent cette dynamique, avec une centralisation des avis de sécurité à usage universel pour tous les acteurs — développeurs, pentesteurs ou DevOps.

Conclusion

Avec cette intégration dans la base OSV, l’écosystème Drupal franchit un pas important en direction d’une meilleure automatisation de la sécurité dans le monde open source. Cela profite à toute la chaîne de valeur, du développeur au client final. L’agence Tuesday encourage les entreprises à tirer parti de ces outils modernes de veille pour anticiper et réagir face aux menaces de sécurité potentielles.

Thématique : Sécurité des CMS et Open Source

Sujet principal : Intégration des avis de sécurité Drupal dans la base de données Open Source Vulnerabilities (OSV)

Source : https://www.drupal.org/blog/drupal-security-advisories-are-now-available-in-osv-database