Sync-in est une solution d’hébergement et de synchronisation de fichiers libre et open source (licence AGPL 3), dont le code est disponible depuis un dépôt GitHub. Nous nous étions entretenus avec le créateur du projet, Johan Legrand, qui nous avait alors expliqué ses motivations : proposer une solution simple de synchronisation et de gestion des fichiers, et se concentrer sur l’aspect collaboratif.

La version 2.4, disponible depuis ce 23 juin, comporte bon nombre d’améliorations. En plus d’OnlyOffice et Collabora, l’outil prend en charge Euro-Office. Il est désormais possible d’annuler des tâches (envois, téléchargements, extractions…) depuis le panneau des tâches. Les tâches liées aux fichiers sont d’ailleurs maintenant mises en file d’attente et limitées par utilisateur. Ce changement doit empêcher de lancer un trop grand nombre d’opérations lourdes en parallèle.

On note également deux améliorations bienvenues. Sync-in 2.4 apporte ainsi le support des archives ZIP, en plus des TAR et TGZ déjà prises en charge. D’autre part, l’outil peut à présent vérifier l’email OpenID Connect. Il s’agit d’une option, qui permet aux administrateurs d’exiger qu’un utilisateur OIDC ait une adresse vérifiée avant de pouvoir associer son compte.

Une mesure de sécurité complétée par plusieurs corrections, notamment pour une application renforcée de l’authentification multifacteur et une meilleure défense contre les essais répétés de codes TOTP (Time based One Time Password). On note aussi des améliorations de fiabilité, dont les téléchargements depuis une URL, diverses corrections pour les éditeurs texte et Markdown, la sélection filtrée, le démarrage du serveur et le chargement de configuration.

Le projet a largement accéléré depuis l’automne dernier, avec la sortie de multiples versions. Au cours des six derniers mois, on a pu voir l’arrivée d’un éditeur Markdown intégré, la rétention optionnelle de la corbeille, une amélioration de l’indexation, l’OCR pour les PDF, le support d’OpenID Connect ou encore une refonte de l’interface.

Sync-in est une solution d’hébergement et de synchronisation de fichiers libre et open source (licence AGPL 3), dont le code est disponible depuis un dépôt GitHub. Nous nous étions entretenus avec le créateur du projet, Johan Legrand, qui nous avait alors expliqué ses motivations : proposer une solution simple de synchronisation et de gestion des fichiers, et se concentrer sur l’aspect collaboratif.

La version 2.4, disponible depuis ce 23 juin, comporte bon nombre d’améliorations. En plus d’OnlyOffice et Collabora, l’outil prend en charge Euro-Office. Il est désormais possible d’annuler des tâches (envois, téléchargements, extractions…) depuis le panneau des tâches. Les tâches liées aux fichiers sont d’ailleurs maintenant mises en file d’attente et limitées par utilisateur. Ce changement doit empêcher de lancer un trop grand nombre d’opérations lourdes en parallèle.

On note également deux améliorations bienvenues. Sync-in 2.4 apporte ainsi le support des archives ZIP, en plus des TAR et TGZ déjà prises en charge. D’autre part, l’outil peut à présent vérifier l’email OpenID Connect. Il s’agit d’une option, qui permet aux administrateurs d’exiger qu’un utilisateur OIDC ait une adresse vérifiée avant de pouvoir associer son compte.

Une mesure de sécurité complétée par plusieurs corrections, notamment pour une application renforcée de l’authentification multifacteur et une meilleure défense contre les essais répétés de codes TOTP (Time based One Time Password). On note aussi des améliorations de fiabilité, dont les téléchargements depuis une URL, diverses corrections pour les éditeurs texte et Markdown, la sélection filtrée, le démarrage du serveur et le chargement de configuration.

Le projet a largement accéléré depuis l’automne dernier, avec la sortie de multiples versions. Au cours des six derniers mois, on a pu voir l’arrivée d’un éditeur Markdown intégré, la rétention optionnelle de la corbeille, une amélioration de l’indexation, l’OCR pour les PDF, le support d’OpenID Connect ou encore une refonte de l’interface.

Brèches et oxydation

Le langage Rust et son écosystème ont désormais un ingénieur sécurité résident. Le contrat prévoit pour l’instant qu’il reste six mois, et davantage en fonction du financement. Cette embauche doit permettre la coordination et l’évolution de la sécurité au sein de l’écosystème Rust.

La fondation Rust est la structure créée en février 2021 pour gérer le développement et l’orientation du langage créé par Mozilla. Depuis, elle gère une Security Initiative destinée à protéger les parties de l’écosystème « qu’aucun mainteneur individuel ne peut raisonnablement couvrir seul » : modélisation des menaces pour crates.io (les crates sont des binaires ou des bibliothèques), signature de provenance des artefacts, publication de confiance, ou encore création d’outils comme Painter et Typomania pour cartographier les dépendances et détecter les typosquattages.

Comme l’indique la fondation dans un communiqué publié le 16 juin, l’ensemble est soutenu financièrement par des membres de la fondation (AWS est cité) et par Alpha-Omega, « une initiative inter-industrie qui finance des travaux de sécurité dédiés à travers les projets open source critiques ». C’est dans ce cadre et grâce à ces apports que la fondation annonce l’embauche d’un ingénieur à temps plein pour chapeauter la sécurité de Rust et de son écosystème.

L’impact de l’intelligence artificielle

Dans le communiqué d’Alpha-Omega publié le même jour, on peut lire que cette embauche découle d’un constat : les outils automatisés sont suffisamment puissants pour révéler les failles de sécurité à grande échelle. Plusieurs grands projets Rust ont ainsi reçu des signalements pour corriger de vraies vulnérabilités.

Cependant, le communiqué note aussi que ces outils génèrent un grand nombre de signalements qui peuvent être aussi plausibles qu’inutiles. Alpha-Omega évoque les heures perdues par les mainteneurs à trier ces informations. Une mention qui renvoie, une fois encore, à l’exemple de FFmpeg qui se plaignait du flot ininterrompu de signalements par des personnes n’ayant que peu d’expérience et incapables de voir si les informations envoyées étaient crédibles. Les signalements doivent cependant tous être analysés de peur de laisser passer une faille importante, avec une contrainte forte sur les petites équipes.

Un travail de synthèse et de lubrification

Le nouvel ingénieur, Jacob Finkelman, utilisera « un mélange de méthodes dirigées par l’humain et assistées par l’IA » pour examiner le langage Rust proprement dit et les crates sur lesquels l’écosystème s’appuie le plus. Il sera chargé de séparer le bon grain de l’ivraie : les vrais problèmes exploitables d’un côté, le reste à la poubelle, pour que seules des informations utiles soient envoyées aux mainteneurs.

Jacob Finkleman est un ingénieur logiciel plus connu sous le pseudonyme Eh2406. Il a commencé à utiliser Rust en 2015 et fait partie de l’équipe Cargo de Rust depuis 2018. Il est également le mainteneur de pubgrub-rs, un résolveur de dépendances qui alimente notamment uv, un gestionnaire de paquets et projets Python (écrit en Rust). « Sa connaissance du graphe de dépendances des crates le positionne idéalement pour travailler sur les risques liés à la chaîne d’approvisionnement logicielle », indique la fondation Rust.

Le travail s’effectuera en collaboration avec « les pairs d’autres écosystèmes » et le SRWG (Security Response Working Group) de Rust. Tout ce petit monde devra se concerter pour évaluer rapidement la gravité du contexte et aider autant que possible au développement rapide des correctifs. Cette équipe réduite devra en outre coordonner la divulgation et la publication responsables des informations. Elle servira aussi de guichet unique pour les rapports entrants, « y compris ceux arrivant via des initiatives comme le Project Glasswing », et d’intermédiaire entre chercheurs et mainteneurs quand des situations urgentes se produisent.

• Anthropic dévoile Mythos, son modèle d’IA chasseur de failles… réservé à certains

Six mois pour commencer

Au vu de l’attraction dont jouit Rust depuis plusieurs années et son utilisation plus intensive dans les projets commerciaux (y compris chez Microsoft et Google qui l’utilisent en programmation système), l’écosystème a de quoi se réjouir.

Cette embauche n’est cependant pas définitive. La fondation précise que ce nouveau poste sera à temps plein pour six mois et la suite dépendra de plusieurs facteurs, selon ce que les personnes impliquées « apprendront » et… les financements disponibles bien sûr.

En revanche, la fondation précise que tout ce travail donnera naissance à des méthodes, manuels et consignes qui seront dûment documentés « pour que le travail ne s’arrête pas avec le contrat ». Les outils et pratiques seront partagés avec d’autres écosystèmes, en particulier ceux ayant aussi reçu un financement d’Alpha-Omega, comme la fondation PHP et la Drupal Association.

Enfin, la fondation invite les mainteneurs de crates largement utilisés à la contacter pour être pris en compte dans le cadre de cette initiative de sécurisation.

Brèches et oxydation

Le langage Rust et son écosystème ont désormais un ingénieur sécurité résident. Le contrat prévoit pour l’instant qu’il reste six mois, et davantage en fonction du financement. Cette embauche doit permettre la coordination et l’évolution de la sécurité au sein de l’écosystème Rust.

La fondation Rust est la structure créée en février 2021 pour gérer le développement et l’orientation du langage créé par Mozilla. Depuis, elle gère une Security Initiative destinée à protéger les parties de l’écosystème « qu’aucun mainteneur individuel ne peut raisonnablement couvrir seul » : modélisation des menaces pour crates.io (les crates sont des binaires ou des bibliothèques), signature de provenance des artefacts, publication de confiance, ou encore création d’outils comme Painter et Typomania pour cartographier les dépendances et détecter les typosquattages.

Comme l’indique la fondation dans un communiqué publié le 16 juin, l’ensemble est soutenu financièrement par des membres de la fondation (AWS est cité) et par Alpha-Omega, « une initiative inter-industrie qui finance des travaux de sécurité dédiés à travers les projets open source critiques ». C’est dans ce cadre et grâce à ces apports que la fondation annonce l’embauche d’un ingénieur à temps plein pour chapeauter la sécurité de Rust et de son écosystème.

L’impact de l’intelligence artificielle

Dans le communiqué d’Alpha-Omega publié le même jour, on peut lire que cette embauche découle d’un constat : les outils automatisés sont suffisamment puissants pour révéler les failles de sécurité à grande échelle. Plusieurs grands projets Rust ont ainsi reçu des signalements pour corriger de vraies vulnérabilités.

Cependant, le communiqué note aussi que ces outils génèrent un grand nombre de signalements qui peuvent être aussi plausibles qu’inutiles. Alpha-Omega évoque les heures perdues par les mainteneurs à trier ces informations. Une mention qui renvoie, une fois encore, à l’exemple de FFmpeg qui se plaignait du flot ininterrompu de signalements par des personnes n’ayant que peu d’expérience et incapables de voir si les informations envoyées étaient crédibles. Les signalements doivent cependant tous être analysés de peur de laisser passer une faille importante, avec une contrainte forte sur les petites équipes.

Un travail de synthèse et de lubrification

Le nouvel ingénieur, Jacob Finkelman, utilisera « un mélange de méthodes dirigées par l’humain et assistées par l’IA » pour examiner le langage Rust proprement dit et les crates sur lesquels l’écosystème s’appuie le plus. Il sera chargé de séparer le bon grain de l’ivraie : les vrais problèmes exploitables d’un côté, le reste à la poubelle, pour que seules des informations utiles soient envoyées aux mainteneurs.

Jacob Finkleman est un ingénieur logiciel plus connu sous le pseudonyme Eh2406. Il a commencé à utiliser Rust en 2015 et fait partie de l’équipe Cargo de Rust depuis 2018. Il est également le mainteneur de pubgrub-rs, un résolveur de dépendances qui alimente notamment uv, un gestionnaire de paquets et projets Python (écrit en Rust). « Sa connaissance du graphe de dépendances des crates le positionne idéalement pour travailler sur les risques liés à la chaîne d’approvisionnement logicielle », indique la fondation Rust.

Le travail s’effectuera en collaboration avec « les pairs d’autres écosystèmes » et le SRWG (Security Response Working Group) de Rust. Tout ce petit monde devra se concerter pour évaluer rapidement la gravité du contexte et aider autant que possible au développement rapide des correctifs. Cette équipe réduite devra en outre coordonner la divulgation et la publication responsables des informations. Elle servira aussi de guichet unique pour les rapports entrants, « y compris ceux arrivant via des initiatives comme le Project Glasswing », et d’intermédiaire entre chercheurs et mainteneurs quand des situations urgentes se produisent.

• Anthropic dévoile Mythos, son modèle d’IA chasseur de failles… réservé à certains

Six mois pour commencer

Au vu de l’attraction dont jouit Rust depuis plusieurs années et son utilisation plus intensive dans les projets commerciaux (y compris chez Microsoft et Google qui l’utilisent en programmation système), l’écosystème a de quoi se réjouir.

Cette embauche n’est cependant pas définitive. La fondation précise que ce nouveau poste sera à temps plein pour six mois et la suite dépendra de plusieurs facteurs, selon ce que les personnes impliquées « apprendront » et… les financements disponibles bien sûr.

En revanche, la fondation précise que tout ce travail donnera naissance à des méthodes, manuels et consignes qui seront dûment documentés « pour que le travail ne s’arrête pas avec le contrat ». Les outils et pratiques seront partagés avec d’autres écosystèmes, en particulier ceux ayant aussi reçu un financement d’Alpha-Omega, comme la fondation PHP et la Drupal Association.

Enfin, la fondation invite les mainteneurs de crates largement utilisés à la contacter pour être pris en compte dans le cadre de cette initiative de sécurisation.