Open source : les développeurs se rebiffent, la Maison Blanche consulte

Indigostar

Les développeurs de projets open source veulent faire payer et contribuer les sociétés qui utilisent leurs initiatives. L’un d’entre eux menace même de jeter l’éponge et de ne plus maintenir sa solution. Un ras-le-bol qui intervient au moment où les acteurs IT étaient sollicités par la Maison Blanche pour réfléchir à la sécurité des projets open source.

La Maison Blanche a réuni cette semaine les acteurs IT pour parler de la sécurité des projets open source après l’affaire Log4j. (Crédit Photo: Pixabay)

En début de semaine, un développeur, Marak Squirres a décidé de saboter deux de ses librairies : Colors et Fakers qui comptent plusieurs millions de téléchargements. Il a intégré du code pour planter les applications et faire apparaître un drapeau américain. Pour expliquer ce geste, Marak Squirres pointe du doigt les grandes entreprises notamment IT qui utilisent les projets open source sans contribuer en retour au développement et au support.

C’est la même revendication qui a poussé Christofer Dutz, créateur d’Apache PLC4X, à menacer de cesser la maintenance du projet. Dans un message sur GitHub, il a indiqué « l’industrie semble aimer utiliser PLC4X et les logiciels libres en général, mais ne semble pas vouloir soutenir les personnes qui y travaillent ». Il a bien essayé de lancer une opération de crowdfunding mais sans succès. Ces deux exemples reposent le problème de la maintenance des projets open source et, in fine, de la sécurité de ces programmes qui sont de plus en plus utilisés par les entreprises.

La Maison Blanche demande des efforts sur la sécurité de l’open source

La Maison Blanche s’est saisie du problème, après l’affaire de la faille découverte dans Log4j d’Apache. Elle a réuni plusieurs grands acteurs, Google, Facebook, Microsoft, Amazon, Oracle et Apple ou la Fondation Apache pour discuter de la nécessité d’améliorer la sécurité dans la communauté des logiciels libres. Dans un blog, Kent Walker, directeur juridique de Google a donné des pistes de réflexions, comme apporter un meilleur soutien à la communauté open source ou créer un référentiel de tests et de sécurité spécifique, ou identifier les projets critiques.

Certaines de ces propositions ne sont pas nouvelles et existent déjà. Lors de l’affaire Heartbleed impliquant OpenSSL, les grands acteurs IT avaient investi plusieurs millions de dollars sous la bannière de la Fondation Linux au sein de la Core Initiative Infrastructure. Parmi les autres pistes envisagées pour soutenir les développeurs, il y a les changements de licence. Certaines sociétés l’on fait comme Elastic ou MongoDB pour forcer les sociétés comme Amazon qui utilisent leur service à participer en retour au projet. Double problème, certaines sociétés peuvent forker le projet comme le montre le cas Amazon/Elastic, mais aussi ce type de licence n’est pas adapté pour des programmes comprenant très peu de mainteneurs. Pour les aider, certains plaident pour un revenu minimum pour les mainteneurs d’applications critiques. Là encore, la qualification et le choix d’attribution restent problématiques. Difficile donc de trouver une ou des solutions satisfaisantes.

Source : lemondeinformatique.fr

Raccoon

Ils ont bien raison de se rebeller. Quand on sait que les GAFAM génèrent des millions de bénéfices alors qu’ils utilisent tous de nombreuses solutions open source. Alors certes ils adaptent ces solutions à leurs besoins et un énorme boulot de développement est fait de leurs côtés. Mais ils ont aussi bien compris qu’il ne servait à rien de réinventer la roue.
Ces boites qui engrangent énormément de bénéfices alors qu’ils utilisent des solutions open source devraient être tenues d’y contribuer à minima.

ALRBP

@raccoon
Sur le principe, je suis d’accord ; cela-dit ces sociétés contribuent aussi au développement de solutions open source (pas toujours suffisamment).

Violence

Clairement.
Surtout que l’Open source est vraiment partout autour de nous