Lancée par la fondation Linux, l’Open Source Security Foudation (OpenSSF) s’est donnée pour mission de renforcer la sécurité des programmes open source dans un contexte de menaces toujours plus avancées et éclectiques. Un peu plus de 5 ans après sa création, un autre mal tout aussi grave – peut être plus encore - amène l'association à sonné l’alerte. Dans une lettre ouverte co-signée par huit fondations (dont Python Software Foundation, Rust Foundation, Eclipse Foundation, OpenJS Foundation,...) et intitulée “l’infrastructure libre n’est pas gratuite”, elles dénoncent ainsi l’illusion selon laquelle toute utilisation de l’open source est gratuite et illimitée.

Et ce alors que de nombreuses organisations publiques et privées (entreprises, administrations, fournisseurs de logiciels et de services...), n’apporte ni contrepartie financière, ni contribution au code, ni engagement dans les communautés pour soutenir les solutions qu’ils utilisent reposant sur des briques open source. “Quel que soit le modèle d'exploitation, le schéma reste le même : un petit nombre d'entreprises absorbent la majorité des coûts d'infrastructure, tandis que la grande majorité des utilisateurs à grande échelle, y compris les entités commerciales qui génèrent la demande et tirent une valeur économique, consomment ces services sans contribuer à leur pérennité”, prévient OpenSSF. 

Utiliser sans contribuer 

Les abus sont courant et parfois surprenants dans le monde réel. Il y a quelques mois, la société française Vates à l’origine d’un fork open source de XenCenter avait raconté l’histoire d’une entreprise semi-publique dans l’aérospatiale qui abusait des essais gratuits de sa solution Xen Orchestra en multipliant année après année les adresses mail utilisées pour bénéficier temporairement (30 jours) de l’offre. Le mois dernier la fondation Linux avait aussi pointé dans son rapport sur l’état de l’open source en Europe, que seulement 42 % des entreprises et administrations sur le vieux continent sont actives dans les projets open source dont elles dépendant en maintenant et en contribuant à leur code source. Et ce dans un contexte où de nombreuses entités font le choix de basculer d’un environnement propriétaire vers l’open source comme Lyon et Copenhague dans la bureautique ou Michelin dans le cloud native et les containers. 

OpenSSF souligne que l’open source n’est pas réservé à certaines catégories de logiciels ou d’infrastructure et qu’elle est à la base de toutes les applications modernes. Qu'elles soient écrites en Java, JavaScript, Python, Rust, PHP ou autre, toutes dépendent de registres de paquets publics tels que Maven Central, PyPI, crates.io, Packagist et open-vsx pour récupérer, partager et valider les dépendances. Ces registres sont devenus une infrastructure numérique fondamentale, non seulement pour l'open source, mais aussi pour la chaîne d'approvisionnement mondiale en logiciels”, fait savoir la fondation.

Certains éditeurs à la rescousse

Outre les registres, l’open source sous-tend aussi des systèmes essentiels de conception, de test, d’analyse, de déploiement et de distribution de logiciels. “Bon nombre de ces services sont financés par un petit groupe de bienfaiteurs. Ils sont parfois soutenus par des fournisseurs commerciaux, tels que Sonatype (Maven Central), GitHub (npm) ou Microsoft (NuGet). D'autres fois, ils le sont par des fondations à but non lucratif qui dépendent de subventions, de dons et de parrainages pour couvrir leurs frais de maintenance, d'exploitation et de personnel”, avance la fondation. 

Et de conclure : “nous devons passer d'une culture de dépendance invisible à une culture d'investissements équilibrés et harmonisés. Il ne s'agit pas (encore) d'une crise. Mais c'est un point d'inflexion critique. Si nous agissons dès maintenant pour faire évoluer nos modèles, en créant un espace de participation, de partenariat et de responsabilité partagée, nous pourrons maintenir la force, la stabilité et l'accessibilité de ces systèmes pour tous. Sans action, les fondements des logiciels modernes s'effondreront. Avec une action partagée, alignée et soutenue, nous pouvons garantir que ces systèmes resteront solides, sécurisés et ouverts à tous”.