Follow-up to Carrot disclosure: Forgejo
Mis à jour :
Vulnérabilités et gouvernance de Forgejo : leçons d’une divulgation controversée
L’auteur revient sur les répercussions de sa divulgation de vulnérabilités (“Carrot disclosure”) concernant la plateforme Forgejo. Cette démarche, bien que largement débattue et critiquée pour son approche non conventionnelle, a permis de mettre en lumière des lacunes structurelles dans la gestion de la sécurité du projet.
Points clés :
- Réactions communautaires : La divulgation a suscité des tensions, incluant la suppression de messages sur Mastodon et des attaques personnelles contre l’auteur.
- Limites de l’équipe sécurité : Il a été révélé que l’équipe sécurité de Forgejo se concentre uniquement sur la réception de signalements cryptés, sans mission proactive d’audit ou de recherche de vulnérabilités.
- Impact institutionnel : La mise en avant de ces failles a conduit plusieurs entités, y compris des instances gouvernementales (Pays-Bas), à reconsidérer l’usage de Forgejo comme forge logicielle souveraine.
- Changement d’approche : À la suite de discussions constructives, l’auteur a finalement transmis à l’équipe de Forgejo des preuves de concept (PoC) détaillées et des recommandations techniques pour renforcer la sécurité.
Vulnérabilités :
- L’article ne mentionne pas de CVE spécifique, mais confirme l’existence de plusieurs vulnérabilités exploitables et de failles de sécurité non corrigées sur la plateforme.
Recommandations :
- Révision de la politique de sécurité : Forgejo est encouragé à transformer son équipe sécurité en une entité proactive plutôt que purement réactive.
- Renforcement du code : Une revue approfondie du code est nécessaire pour corriger les failles identifiées dans les PoC transmis par l’auteur.
- Transparence et processus : Le projet doit moderniser ses processus de réponse aux vulnérabilités pour répondre aux standards attendus par les utilisateurs institutionnels et critiques.