L’affaire de l’outil XZ a remis en lumière les questions de sécurité des composants open source. Si plusieurs initiatives existent sur ce sujet, il faut compter maintenant sur celle lancée par la Fondation Eclipse pour travailler à l’établissement de spécifications communes pour le développement sécurisé de logiciels sur la base des meilleures pratiques open source.

Dans ce cadre, elle fédère plusieurs fondations (Apache Software, Blender, OpenSSL Software, PHP, Python et Rust Foundation). Dans un billet de blog daté du 2 avril, Eclipse a déclaré que l'objectif de cette initiative était de relever les défis de la cybersécurité dans l'écosystème open source et faire la preuve de son adhésion au Cyber-résilience Act européen. L'effort de collaboration sera hébergé par la Fondation Eclipse AISBL, basée à Bruxelles, sous les auspices de l’Eclipse Foundation Specification Process et d'un nouveau groupe de travail. D'autres fondations open source hébergeant du code et des acteurs de l'industrie sont invités à s'y joindre.

Les politiques et procédures de sécurité actuelles des fondations open source et les documents similaires décrivant les meilleures pratiques serviront de point de départ à ce travail de normalisation technique. La gouvernance du groupe de travail suivra le modèle dirigé par Eclipse, mais sera complétée par une représentation de la communauté des logiciels libres. « Les résultats attendus consisteront en une ou plusieurs spécifications de processus disponibles sous une licence de copyright de spécification libérale et une licence de brevet libre de redevance », a indiqué Eclipse.