Le « Security project for QGIS » est désormais public ! Participez maintenant !
L’objectif de ce projet est de mutualiser des financements pour améliorer la sécurité de QGIS et porter le projet à un niveau de cybersécurité élevé.
Oslandia et d’autres partenaires investis, en particulier OPENGIS.ch sont des “pure players” opensource et les principaux contributeurs de QGIS. Ce projet est une initiative d’Oslandia et est soutenu par l’association QGIS.org. Nous travaillons de façon rapprochée avec la communauté de développeurs, utilisateurs et parties prenantes de QGIS. Ce projet est mené par des committers « core » de QGIS désireux de faire avancer les pratiques de cybersécurité.
Contexte global
De nouvelles réglementations telles que NIS2 et le CRA en Europe, ainsi que d’autres réglementations internationales ou locales vont être activées dans les prochaines années. Elles requièrent l’amélioration des pratiques de cybersécurité des logiciels et des producteurs de logiciel. Les logiciels OpenSource, bien que bénéficiant d’un traitement spécifique, sont également concernés. Une estimation de l’impact du CRA sur les coûts logiciels est projeté à des montants de +30% do coûts supplémentaires.
Concernant QGIS, nous considérons que le projet est actuellement en deçà de ce qui serait nécessaire pour être conforme à ces législation. Il ne répond également pas pour le moment à certains prérequis des utilisateurs finaux en terme de qualité globale concernant la sécurité, les processus en place pour assurer la confiance dans la chaîne de production logicielle, et la culture de la cybersécurité dans le projet.
Nous avons échangé sur ce sujet avec des clients ayant des déploiements importants de QGIS et QGIS serveur, et ils ont confirmé que la cybersécurité est une de leurs principales préoccupations, et qu’ils souhaiteraient faire avancer le projet QGIS dans ce domaine autant que possible. QGIS fait en effet face au risque des départements IT possédant des chartes de sécurité pouvant empêcher son déploiement si le projet n’a pas assez de processus en place.
De plus, on note que les sollicitations de security@qgis.org ont récemment connu une forte augmentation.
Objectifs du projet
Oslandia, avec d’autres partenaires, et soutenu par des clients et des utilisateurs finaux, lance donc le “Security project for QGIS” : nous avons identifié les points-clé où des amélioration de sécurité peuvent être réalisés, nous les avons classifiés, détaillés, et nous avons créé des « work packages » avec estimations budgétaires.
- L’objectif principal est simple : améliorer significativement le niveau de cybersécurité du projet QGIS
- Il s’agit ensuite de se conformer aux contraintes et prérequis des réglementations et des utilisateurs finaux
- Enfin, nous voulons faire de QGIS un exemple de projet OpenSource prenant en compte la cybersécurité, et pouvant inspirer d’autres projets de l’OSGeo
QGIS et QGIS Server sont les deux principaux composants concernés par ce projet, mais améliorer la sécurité de QGIS de façon globale nous fait également considérer les bibliothèques sous-jacentes ( e.g. GDAL/OGR, PROJ, GEOS…).
Ce projet est un effort spécifique pour améliorer le niveau de sécurité du projet QGIS. Maintenir ce niveau sur le long terme nécessitera de nouveaux efforts, et nous vous encourageons également à financer directement QGIS.org en devenant un sponsor officiel du projet ( « Sustaining member » ).
La sécurité mémoire, la signature des binaires, la gestion de la chaîne d’approvisionnement logicielle, les process de contribution, la sécurité des plugins, les audits de sécurité et bien d’autres sujets sont inclus dans ce projet. Vous pouvez voir l’ensemble des sujets ainsi que les work packages sur le site dédié :
https://security.qgis.oslandia.com
Organisation projet – Contribuez !
Toute organisation intéressée pour améliorer la sécurité de QGIS peut participer au financement. Nous recherchons un total de financement estimé de 670K€, divisé en 3 work packages ➡️ Contribuez dès maintenant !
Une fois le financement démarré, Oslandia et ses partenaires vont commencer à travailler sur le Work Package 1 en 2025. Nous avons l’intention de travailler de façon rapprochée avec la communauté QGIS, l’association QGIS.org, les partenaires intéressés et les utilisateurs finaux. Une partie du travail consiste en l’amélioration du système actuel, d’autres demanderont des changements de process ou d’habitudes de développement. Travailler de façon rapprochée avec les communautés d’utilisateurs et de développeurs pour améliorer la culture de cybersécurité des contributeurs est une partie essentielle du projet.
Nous livrerons des améliorations dès 2025 et jusque 2027. Vous pouvez voir la liste complète des sujets et les work packages, ainsi que les budgets correspondants sur la page du projet : security.qgis.oslandia.com .
Vous êtes invités à contribuer financièrement, mais vous pouvez également passer le mot, et convaincre d’autres organisations de contribuer !
Nous tenons à remercier particulièrement Orange France pour son support de longue date à l’OpenSource en général et à QGIS en particulier. Ce sont les premiers financeurs du « Security Project for QGIS ».
Si vous avez des questions sur le projet, ou souhaitez obtenir plus de renseignements ou de matériel de présentation du projet à diffuser, n’hésitez pas à nous contacter !
