Un événement

GDR Sécurité Informatique Région Hauts de France

organisé par 

Université de Lille CRIStAL
Le projet SecOPERA (Secure OPen source softwarE and hardwaRe Adaptable framework)
Virgile Prevosto  1@  , Boussad Addad, Pascal Bisson@
1 : Laboratoire de Sûreté et de Sécurité des Logiciels  (LSL)
CEA Tech List
Nano-Innov, Palaiseau -  France

SecOPERA 1 est un projet Horizon Europe, labellisé en réponse à l'appel HORIZON-CL3-2021-CS-01. Il a démarré en janvier 2023, pour une durée de 3 ans. Il regroupe 13 partenaires de 7 pays, dont 3 partenaires français (CEA List, GreenCityzen, et le laboratoire ThereSIS du groupe Thales). Il est coordonné par l'Université technique de Crète, le leader technique étant le centre de recherche ATHENA (Grèce).

Conformément aux objectifs de l'appel, le but de SecOPERA est de fournir une chaine d'outils permettant d'évaluer la sécurité de produits intégrant des composants open-source, tant au niveau logiciel que matériel. Pour ce faire, le projet s'appuie en particulier sur des outils déjà relativement matures (TRL 4 ou plus) qui seront étendus et intégrés dans une même plateforme durant le projet. La plateforme SecOPERA en tant que telle sera également validée au cours du projet par deux études de cas.

La première année du projet a permis de fixer l'architecture de la plateforme, séparée classiquement en un front-end permettant aux utilisateurs de gérer leurs projets, lancer des tâches et visualiser des résultats ; un orchestrateur chargé d'appeler les outils d'analyse individuels en fonction des tâches demandées ; un dépôt offrant un ensemble de composants sécurisés ; et les outils d'analyse eux-mêmes.


Le début de l'évaluation de tout projet par la boı̂te à outils de SecOPERA consistera à identifier ses dépendances éventuelles, et à classer ses composants suivant la couche à laquelle ils appartiennent parmi les quatre couches identifiées par le projet : matériel, réseau, application, et cognitive (modèle de Machine Learning). L'analyse de chaque composant sera confiée à des classes d'outils différentes selon les couches en question. Les évaluations proprement dites incluront notamment une recherche de la présence de vulnérabilités, avec, entre autres, du fuzzing renforcé avec l'IA, l'utilisation de techniques formelles de vérification, et du pentesting. En outre, une phase d'adaptation du projet est prévue, avec en particulier un outil de debloating de code et des suggestions de remplacement de composants par des composants sécurisés SecOPERA. Enfin, la plateforme devra intégrer un mécanisme de suivi des évolutions des projets pour être capable d'analyser les nouvelles versions au fur et à mesure des changements.


Personnes connectées : 1 Vie privée
Chargement...