Voici les 10 critères indispensables selon l’ANSSI pour choisir un logiciel libre

4. Y a-t-il une procédure pour les vulnérabilités ?
Outre les rapports de bugs classiques, l’ANSSI recommande de s’assurer que le projet propose un point de contact pour les questions de sécurité, ainsi qu’une procédure publique pour la gestion des vulnérabilités. Cela facilite une réaction rapide en cas de découverte d’une faille.

5. Les failles sont-elles (rapidement) corrigées ?
Il est conseillé de prendre en compte le nombre de correctifs de sécurité publiés et le temps mis pour corriger les vulnérabilités critiques. Un projet capable de traiter rapidement ce type de rapport montre sa capacité à gérer les risques.

6. Quelles sont les dépendances du projet ?
L’ANSSI suggère d’inventorier toutes les dépendances du projet, par exemple, via une SBOM (ou Software Bill of Materials). Ce document dresse la liste complète de tous les composants logiciels utilisés (bibliothèques, frameworks, modules et autres dépendances). Bien entendu, par la suite, il faut donc s’assurer que ces composants sont eux-mêmes à jour et exemptes de vulnérabilités connues.

7. Le projet a-t-il reçu des audits ?
Toujours en matière de sécurité, on peut également vérifier si le logiciel a fait l’objet d’audits de sécurité externes, comme un visa de sécurité de l’ANSSI, un cabinet de sécurité indépendant ou via des rapports de la communauté open source.