Non, l’open source n’est pas plus sûr ou moins sûr que le code commercial : il est différent. En tout cas, du point de vue de la sécurité informatique, la gestion des risques des logiciels open source est différente. Un des aspects particuliers est que ce type de composant se retrouve désormais partout, parfois même sans qu’on le sache.
Dans la série « cultivons-nous, même avec un peu de retard par rapport à leur parution, grâce aux rapports de nos amies les sociétés de sécurité informatique », nous allons regarder aujourd’hui le travail de Synopsys, dont une des spécialités est l’analyse de code.
Depuis une dizaine d’années, leurs spécialistes se penchent sur le code open source. S’il faut comme toujours garder une certaine distance avec leurs propos car il y a toujours une composante marketing et avant-vente, les constats de ces sociétés bien établies sont toujours plein d’enseignements.
Il reste 84% de l'article à découvrir. Abonnez-vous pour ne rien manquer.
Déjà abonné ? Se connecter
Commentaires (47)
#1
Maintenir les logiciels à jour est très chronophage. Et je ne parle même pas des librairies qui ne sont plus mises à jour. Si il faut les remplacer, dans pas mal de cas ca veut dire réécrire le code.
Pour ma part en tout cas il est impossible de rester constamment a jour
#1.1
bibliothèque
librairie
#1.2
bibliothèque = un lieu avec des livres
librairie = un lieu avec des livres
J'ai bien compris que librairie c'est une traduction d'un faux ami mais il se trouve qu'il peut tout de même faire l'affaire si on prend le critère que tu as donné.
#1.3
#1.9
Tu parles de la modalité d'accès :
- Quand tu télécharges le code, c'est comme si tu as emporté un bouquin.
- La bibliothèque ou la librairie c'est la où tu l'as trouvé (genre github, ...)
Cela n'empêche pas que je suis d'accord que le meilleur terme est bibliothèque. Mais si quelqu'un veut utiliser librairie, il n'a pas tort pour autant.
#1.4
Librairie : magasin où on achète les Livres neufs pour avoir le droit de les mettre dans sa bibliothèque.
Bibliothèque : lieu public ou privé où on peut trouver et consulter et donc faire usage des livres.
#1.8
Librairie : magasin où on achète les Livres
neufs(il peut aussi y avoir des occasions) pour avoir le droit de les mettre dans sa bibliothèque.Bibliothèque : lieu public ou privé où on peut trouver et consulter et emprunter et donc faire usage des livres.
La vraie différence c'est que l'un est payant (certains arrivent à lire sur place) et à emporter alors que l'autre est sur place et peut s'emporter.
#1.6
Digital peut "faire l'affaire", au lieu de numérique.
#1.7
Quelle est la définition de crypter ? librairie est dans le dictionnaire mais je ne sais pas si crypter y est.
Personnellement, je donnerais la définition suivante : "Regarder les comptes de la crypte une nuit d'automne". Avec ma définition, cela ne fonctionne pas.
#1.5
Mon mauvais
#2
> La licence BSD permet une redistribution commerciale, mais pas la GPL, qui impose que tout ce qui en est dérivé soit distribué en GPL, compliquant les distributions commerciales.
Tu peux vendre un produit en GPL. Il faut juste que tu donnes la possibilité à l'acheteur de récupérer les sources du logiciel
#2.1
#2.2
#2.9
À noter que les modèles économiques fermés sont eux aussi diffusifs : si on doit payer chaque exemplaire d'un module que l'on redistribue dans son logiciel, on doit à son tour faire payer chaque exemplaire de son logiciel.
Historique des modifications :
Posté le 08/10/2024 à 07h44
"Contamination" est un terme péjoratif, utilisé pour dénigrer les licences libres (genre le "Linux est un cancer" de Steve Ballmer). Si l'on veut être neutre, on parle de "diffusivité".
À noter que les modèles économiques fermés sont eux aussi diffusifs : si on doit payer chaque exemplaire d'un module que l'on redistribue dans son logiciel, on doit à son tour faire payer chaque exemplaire de son logiciel.
#2.14
Sinon, je trouve que contamination et diffusivité non pas la même portée. Avec la diffusivité, tu n'as pas cette notion de caractère obligatoire qui est dans le terme contamination. Tu as le caractère de propagation, pas d'obligation.
D'un point de vue purement sémantique, on parlerait d'ailleurs plutôt de diffusante pour parler de contaminante. La diffusivité se référant plutôt au caractère contaminant ou non.
Ensuite, c'est bien la première fois que je vois ce terme de diffusivité sur les licences. Et pourtant, vu le temps que j'ai passé à étudier les licences, je pense que je l'aurais vu si c'était un terme reconnu.
Enfin, même les milieux libristes utilisent le terme de "contaminant", et cela ne leur posent pas de problème.
Sauf que tu mélanges modèle économique et licence. Ce sont deux aspects très différents. Là, on parle de licence. Tu mélanges tout.
[edit]
Dernier point que j'ai oublié : la notion de diffusivité est trop proche de la liberté de distribution, et on pourrait croire qu'une licence diffusive est une licence qui autorise la distribution du logiciel.
Il y a déjà assez d'incompréhension autour de la notion d'open source, que beaucoup confondent avec source available. Inutile d'en rajouter.
Historique des modifications :
Posté le 08/10/2024 à 08h43
On pourrait dire de même avec "privatif" ou "privateur", qui sont les termes utilisés par la FSF pour parler du non-libre ;)
Sinon, je trouve que contamination et diffusivité non pas la même portée. Avec la diffusivité, tu n'as pas cette notion de caractère obligatoire qui est dans le terme contamination. Tu as le caractère de propagation, pas d'obligation.
D'un point de vue purement sémantique, on parlerait d'ailleurs plutôt de diffusante pour parler de contaminante. La diffusivité se référant plutôt au caractère contaminant ou non.
Ensuite, c'est bien la première fois que je vois ce terme de diffusivité sur les licences. Et pourtant, vu le temps que j'ai passé à étudier les licences, je pense que je l'aurais vu si c'était un terme reconnu.
Enfin, même les milieux libristes utilisent le terme de "contaminant", et cela ne leur posent pas de problème.
Sauf que tu mélanges modèle économique et licence. Ce sont deux aspects très différents. Là, on parle de licence. Tu mélanges tout.
[edit]
Dernier point que j'ai oublié : la notion de diffusivité est trop proche de la liberté de distribution, et on pourrait croire qu'une licence diffusive est une licence qui autorise la distribution du logiciel.
Il y a déjà assez d'incompréhension autour de la notion d'open source, que beaucoup confondent avec source available.
Posté le 08/10/2024 à 08h47
On pourrait dire de même avec "privatif" ou "privateur", qui sont les termes utilisés par la FSF pour parler du non-libre ;)
Sinon, je trouve que contamination et diffusivité non pas la même portée. Avec la diffusivité, tu n'as pas cette notion de caractère obligatoire qui est dans le terme contamination. Tu as le caractère de propagation, pas d'obligation.
D'un point de vue purement sémantique, on parlerait d'ailleurs plutôt de diffusante pour parler de contaminante. La diffusivité se référant plutôt au caractère contaminant ou non.
Ensuite, c'est bien la première fois que je vois ce terme de diffusivité sur les licences. Et pourtant, vu le temps que j'ai passé à étudier les licences, je pense que je l'aurais vu si c'était un terme reconnu.
Enfin, même les milieux libristes utilisent le terme de "contaminant", et cela ne leur posent pas de problème.
Sauf que tu mélanges modèle économique et licence. Ce sont deux aspects très différents. Là, on parle de licence. Tu mélanges tout.
[edit]
Dernier point que j'ai oublié : la notion de diffusivité est trop proche de la liberté de distribution, et on pourrait croire qu'une licence diffusive est une licence qui autorise la distribution du logiciel.
Il y a déjà assez d'incompréhension autour de la notion d'open source, que beaucoup confondent avec source available. Inutile d'en rajouter.
#2.20
Le terme de "contaminant" est, comme je l'ai dit, biaisé, et incite les personnes à se détourner de ces catégories de licences, qui ont pourtant leur utilité pour mettre en œuvre certains modèles économiques.
Quand on parle de "licence diffusives/diffusante", on s'attache à définir le caractère propre de cette catégorie de licences, pas ce que l'utilisateur en fait (la rediffusion du logiciel modifié est un droit, pas un devoir). Peut-être un autre terme peut-il mieux convenir mais, en tout cas, " contaminant" est le mot de l'adversaire.
Historique des modifications :
Posté le 08/10/2024 à 10h36
Le fait qu'un mot soit usité ne veut pas dire qu'il soit pertinent. Par exemple, parler de licence "propriétaire" est inadéquat, car il n'existe pas de régime de propriété (au sens de la possession) sur les biens immatériels. C'est pour cela que le droit d'auteur parle d'"ayant droit" (et non pas de "propriétaire"), que la loi " informatique et libertés" parle de "personne concernée", etc.
Le terme de "contaminant" est, comme je l'ai dit, biaisé, et incite les personnes à se détourner de ces catégories de licences, qui ont pourtant leur utilité pour mettre en œuvre certains modèles économiques.
Quand on parle de "licence diffusives/diffusante", on s'attache à définir le caractère propre de cette catégorie de licences, pas ce que l'utilisateur en fait (la rediffusion du logiciel modifié est un droit, pas un devoir). Peut-être un autre terme peut-il moins convenir mais, en tout cas, " contaminant" est le mot de l'adversaire.
Posté le 08/10/2024 à 10h37
Le fait qu'un mot soit usité ne veut pas dire qu'il soit pertinent. Par exemple, parler de licence "propriétaire" est inadéquat, car il n'existe pas de régime de propriété (au sens de la possession) sur les biens immatériels. C'est pour cela que le droit d'auteur parle d'"ayant droit" (et non pas de "propriétaire"), que la loi " informatique et libertés" parle de "personne concernée", etc.
Le terme de "contaminant" est, comme je l'ai dit, biaisé, et incite les personnes à se détourner de ces catégories de licences, qui ont pourtant leur utilité pour mettre en œuvre certains modèles économiques.
Quand on parle de "licence diffusives/diffusante", on s'attache à définir le caractère propre de cette catégorie de licences, pas ce que l'utilisateur en fait (la rediffusion du logiciel modifié est un droit, pas un devoir). Peut-être un autre terme peut-il moins convenir mais, en tout cas, " contaminant" est le mot de l'adversaire.
#2.23
Quand on fait des leçons sur le vocabulaire, on essaie d'utiliser les bons termes soi-même.
Un ayant droit en terme de droit d'auteur, c'est un héritier de l'auteur.
Tu voulais probablement parler des titulaires du droit d'auteur (Chapitre III : Titulaires du droit d'auteur (Articles L113-1 à L113-10) du code de la propriété intellectuelle).
Édit :
Il n'existe tellement pas que le code qui régit cela contient le mot propriété dans son nom !
Historique des modifications :
Posté le 08/10/2024 à 10h56
Quand on fait des leçons sur le vocabulaire, on essaie d'utiliser les bons termes soi-même.
Un ayant droit en terme de droit d'auteur, c'est un héritier de l'auteur.
Tu voulais probablement parler des titulaires du droit d'auteur (Chapitre III : Titulaires du droit d'auteur (Articles L113-1 à L113-10) du code de la propriété intellectuelle).
Édit :
Il n'existe tellement pas que le code qui régit cela contient le mot propriété dans son nom !
#2.24
Ce n'est pas à moi que tu vas faire dire le contraire, surtout après mes dernières interventions sur la notion d'open-source ces dernières semaines et qui porte mal son nom.
Mais si tu veux être compris, si un terme s'est imposé, alors c'est lui qu'il faut utiliser.
Utilise le terme de diffusif/diffusant si cela te chante, mais ne vient pas te plaindre de ne pas être compris par la suite. J'ai juste l'impression de dialoguer avec un "wokiste du libre".
A mon avis, ce qui détourne le plus les gens d'utiliser des licences contaminantes, ce n'est pas à cause du mot utilisé pour la désigner, mais le caractère même qu'il représente.
Tu pourras toujours changer le mot, cela ne changera rien en pratique. Ce n'est pas pour rien que la GPL (pourtant, le terme "contaminant" n'apparait pas) est en perte de vitesse au profit de licence non copyleft comme la MIT ou non contaminante comme la LGPL.
Les licences "contaminantes" posent des problèmes, y compris avec d'autres licences libres/open source, contrairement aux licences non contaminantes.
L'adversaire... Rien que ça. C'est comme ça que tu désignes tout ceux qui ne sont pas d'accord avec toi ?
#2.3
1) la commercialisation d'un logiciel X
2) la commercialisation d'un logiciel utilisant la brique X
Dans le premier cas, qu'importe la licence open source choisie, le résultat est le même. La société qui "vend" le logiciel X doit fournir à ses utilisateurs le code source, et ses utilisateurs ont tout à fait le droit de redistribuer le logiciel, sans redevances.
Dans le second cas, les licences non-copyleft (comme la BSD) permettent l'usage de la brique dans un logiciel commercial, sans venir bousculer la redistribution.
Par contre, les licences copyleft peuvent rendre la distribution commerciale sans intérêt, en fonction de la définition d'oeuvre dérivée. Dans le cas de la brique X sous GPL, le logiciel sera considéré comme une oeuvre dérivée, et la GPL devra donc s'y appliquer.
Si la brique X est sous LGPL par exemple, le logiciel ne sera pas considérée comme une oeuvre dérivée, et seule les modifications faite à la brique X seront couverte par la LGPL.
Au dela des aspects philosophiques, c'est aussi pour ça que la GPL est en perte de vitesse aujourd'hui, par rapport à une époque. Avec une licence GPL, on peut avoir des incompatibilités, y compris avec des licences open-source, et c'est alors un véritable casse-tête.
Les licences non-copyleft posent beaucoup moins de problèmes. Un exemple tout bête : la licence GPL est incompatible (ou en tout l'était, je ne sais pas ce qu'il en est aujourd'hui) avec les règles de l'AppleStore. Résultat des courses, un logiciel comme VLC ne pouvait pas être présent sur iOS. Ce fut d'ailleurs une des raisons évoquées pour le passage du coeur de VLC de la GPL vers la LGPL.
#2.4
Historique des modifications :
Posté le 07/10/2024 à 14h14
Vive la WTFYWPL !
#2.5
A ce jour, la WTFYWPL est donc la seule licence libre connue non open-source.
Et ce n'est pas une blague. L'OSI rejette cette licence non pas parce qu'elle considère qu'elle ne respecte pas la définition de ses 10 points, mais parce qu'elle est assimilable au domaine publique et n'est donc pas une licence à proprement parler.
Comme quoi, les licences, c'est compliqué ^^
#2.7
Pour ma part, j'ai l'habitude de licencier mes travaux perso sous MIT. Je ne vise pas spécialement d'ambition donc ça me convient. Par contre j'ai arrêté la Creative Commons pour mes ouvrages.
#2.11
#2.6
#2.12
#2.25
#2.8
#2.10
Historique des modifications :
Posté le 08/10/2024 à 07h47
Surtout pas ! Cette licence ne posséde pas de clauses d'exonération de responsabilité (le texte en majuscules en bas de chaque licence) et donc est bien plus risquée pour l'ayant droit qui l'utilise pour le logiciel qu'elle/il diffuse.
#2.13
#2.15
#2.16
Historique des modifications :
Posté le 08/10/2024 à 09h02
Une licence sert à mettre en œuvre un modèle économique.
#2.17
#2.18
#2.19
Le choix de la licence n'est pas obligatoirement dicté par un modèle économique. Il n'y a qu'à voir l'exemple de Wordpress tout récemment.
Historique des modifications :
Posté le 08/10/2024 à 09h20
Non (encore). Beaucoup de projet se lance, et ENSUITE seulement, cherche un modèle économique.
Le choix de la licence n'est pas obligatoirement dicté par un modèle économique. Il n'y a qu'à voir l'exemple de Wordpress tout récemment.
Posté le 08/10/2024 à 09h21
Non (encore). Beaucoup de projet se lancent, et ENSUITE seulement, cherche un modèle économique (c'est même le principe des startup).
Le choix de la licence n'est pas obligatoirement dicté par un modèle économique. Il n'y a qu'à voir l'exemple de Wordpress tout récemment.
#2.21
Le basculement de licences entre fermé et ouvert (Blender, OpenCAScade, etc.) ou l'inverse, s'est à chaque fois fait sur des raisons économiques.
L'ignorer, c'est prendre un risque.
#2.22
Tout est dit. Merci.
#2.26
#2.27
Confondre raisonnement et réalité du terrain (=les faits)...
Et bien évidemment, vous êtes porteur de la vérité absolue. Eclairez nos pauvres âmes perdues de votre lumière divine...
Non, franchement, je crois qu'il est inutile de continuer cette discussion.
#3
C’est un raccourci facile (et un peu trompeur) que font les firmes vendant des outils d’analyse. Ce n’est pas parce qu’une faille est trouvée dans un composant que le produit qui l’utilise est automatiquement vulnérable. Ça permet de faire des annonces alarmantes mais il faut finalement regarder au cas par cas.
#3.1
L'idée ici n'est pas de prendre les chiffres pour argent comptant mais de constater que l'hétérogénéité des composants logiciels est un risque en soi qu'il faut traiter (soit par la gestion des composants et de leur obsolescence, soit avec des outils "périphériques" comme des parefeux applicatifs, etc.), et parfois sous des angles moins évidents (comme les licences).
Historique des modifications :
Posté le 07/10/2024 à 13h46
L'idée ici n'est pas de prendre les chiffres pour argent comptant mais de constater que l'hétérogénéité des composants logiciels est un risque en soi qu'il faut traiter (soit par la gestion des composants et de leur obsolescence, soit avec des outils "périphériques" comme des parefeux applicatifs, etc.).
#3.2
#3.3
#4
Par contre j'ignorais que les licences étaient incompatibles entre elles
#4.1
Heureux homme !
Il y a même pour je ne sais plus quels logiciel et bibliothèque une exception pour rendre compatible des licences qui ne l'étaient pas.
#4.2
#5
On oppose "libre" à "non libre" ou "fermé".
#5.1