- Après 5 ans d’exploitation en open source, Cal.com a décidé de passer au closed source en raison de la hausse des menaces de sécurité basées sur l’IA
- Nous sommes entrés dans une ère où l’IA analyse automatiquement les bases de code pour y trouver des vulnérabilités, ce qui fait du code public un indice direct pour les attaquants
- L’entreprise a choisi de privilégier le second terme du dilemme entre maintien de l’open source et risque sécuritaire afin de protéger les données des clients
- Pour préserver l’esprit open source, le projet Cal.diy est publié sous licence MIT, avec une version auto-hébergée destinée à la communauté
- À mesure que l’IA progresse à une vitesse qui dépasse les dispositifs de sécurité existants, Cal.com affirme vouloir revenir à l’open source une fois la sécurité stabilisée
La décision de Cal.com d’abandonner l’open source et les menaces de sécurité liées à l’IA
- Cal.com fonctionnait en open source depuis 5 ans, mais a décidé de passer au closed source en raison de la forte augmentation des menaces de sécurité basées sur l’IA
- La protection des données clients est devenue la priorité absolue, et l’entreprise estime qu’il n’est plus sûr de maintenir l’open source
- Elle précise que « ce n’était pas une décision facile »
- Par le passé, exploiter les vulnérabilités d’une application demandait du temps et des efforts à des hackers expérimentés, mais nous sommes désormais dans une ère où l’IA scanne automatiquement les bases de code pour trouver des failles
- Le code open source est décrit comme « l’équivalent de fournir le plan d’un coffre-fort aux attaquants »
- À mesure que des startups de la sécurité IA commercialisent ces capacités, elles détectent des vulnérabilités différentes, rendant difficile l’établissement d’un référentiel de sécurité unique et fiable
- Cal.com explique avoir dû choisir entre deux options
- maintenir l’open source tout en acceptant un risque pour les données clients, ou
- passer au closed source pour réduire ce risque
- Même si ce n’est pas une solution parfaite, l’entreprise considère qu’il s’agit d’une décision inévitable pour protéger les utilisateurs
- Pour faire perdurer l’esprit open source, un projet distinct nommé Cal.diy a été publié sous licence MIT
- Cal.diy est une version ouverte pour les développeurs et les passionnés, une version communautaire auto-hébergeable
- Le code de base du service principal a été fortement modifié dans ses structures clés, notamment l’authentification et le traitement des données, et se trouve techniquement séparé de Cal.diy
- L’IA transforme rapidement l’environnement de sécurité, et l’article cite aussi un cas où l’IA a trouvé en quelques heures une vulnérabilité vieille de 27 ans dans le noyau BSD et a généré un exploit
- Cette vitesse et cette précision dépassent les capacités des dispositifs de réponse à la sécurité traditionnels
- Cal.com affirme prendre toutes les mesures possibles pour protéger ses clients, ses applications et ses données sensibles, et exprime sa volonté de revenir à l’open source lorsque l’environnement de sécurité sera stabilisé
Orientation à venir et message
- Pour l’instant, la réduction des risques de sécurité et la protection des utilisateurs sont les priorités absolues
- La relation avec la communauté open source sera maintenue via Cal.diy
- À long terme, l’entreprise laisse ouverte la possibilité d’un retour à l’open source selon l’évolution de l’environnement de sécurité
- Cette décision montre que la réalité de la sécurité à l’ère de l’IA a désormais un impact direct sur les modèles de distribution logicielle
Aucun commentaire pour le moment.