L’open source est partout, donc…
La minute culture du lundi
Non, l’open source n’est pas plus sûr ou moins sûr que le code propriétaire : il est différent. En tout cas, du point de vue de la sécurité informatique, la gestion des risques des logiciels open source est différente. Un des aspects particuliers est que ce type de composant se retrouve désormais partout, parfois même sans qu’on le sache.
Le 07 octobre à 10h30
6 min
Sécurité
Sécurité
Dans la série « cultivons-nous, même avec un peu de retard par rapport à leur parution, grâce aux rapports de nos amies les sociétés de sécurité informatique », nous allons regarder aujourd’hui le travail de Synopsys, dont une des spécialités est l’analyse de code.
Depuis une dizaine d’années, leurs spécialistes se penchent sur le code open source. S’il faut comme toujours garder une certaine distance avec leurs propos car il y a toujours une composante marketing et avant-vente, les constats de ces sociétés bien établies sont toujours plein d’enseignements.
La source...
Leur document OSSRA (Open Source Security and Risk Analysis) de 2024 utilise les données anonymisées de leur produit Synopsys Black Duck Audit Services, qui a analysé en 2023 plus de 1 000 bases de code, ou codebases (chez leurs clients) dans 17 secteurs d’activité. Par base de code, on entend l’ensemble de toutes les sources logicielles nécessaires à la construction d’un logiciel final. Synopsys nous a précisé que ces ressources vont du fichier pom.xml jusqu’aux .dll, en passant par des fichiers source.
Point intéressant, cet outil ne se contente pas de regarder les vulnérabilités logicielles, mais aborde aussi les aspects juridiques (licences) et qualité de code (SAST ou Static application security testing et autres). Du côté open source, ils annoncent surveiller plusieurs millions de composants.
...et l’open source
Commençons par une demi-surprise : 96 % des bases de code utilisent de l’open source. Rien d’exceptionnel cependant, nous constatons tous la prédominance de ce mode de distribution bien utile pour réutiliser des composants rapidement, et ainsi ne pas réinventer la roue. Il est plus que répandu : il est incontournable.
Or, rien que du côté de la gestion des licences, on se retrouve déjà avec des problèmes : 53 % des codebases contiennent des conflits. Cela n’est pas si anodin que cela ; pour comprendre, voici quelques exemples :
- GPLv2 et GPLv3 ne sont pas directement compatibles : si un projet a été distribué sous GPLv2 sans mention de compatibilité avec les versions futures, il ne peut pas passer sous GPLv3 sans l'accord de tous les contributeurs : imaginez le bazar !
- La GPLv2 est incompatible avec certaines autres licences comme Apache 2.0. Ainsi, un projet peut combiner des licences Apache 2.0 et GPLv3, mais il n’est pas autorisé d’avoir Apache 2.0 et GPLv2.
- Si la licence BSD permet de passer facilement à une redistribution propriétaire, la GPL impose que tout ce qui en est dérivé soit distribué en GPL.
Bien que cela soit souvent vu comme anecdotique du point de vue du développeur, le choix de la licence est souvent structurant et ne peut pas être modifié facilement !
De vieilles versions, et donc de vieilles failles qui trainent
Moins reluisant : dans 84 % des cas, le code open source comportait des vulnérabilités dont la moyenne d’âge était de 2,8 années. Dans 14 % des cas, il existe même des vulnérabilités ayant plus de dix ans. L’explication est assez simple : 91 % des composants open source trouvés ont au moins 10 versions de retard par rapport à leur version courante.
Les logiciels open source n’échappent pas au besoin de suivi et de mise à jour : il ne suffit pas de corriger les vulnérabilités, il faut intégrer ces corrections dans votre chaîne logicielle (de plus en plus complexe, par ailleurs) et gérer la dette technique, ce qui est d’autant plus difficile que la moitié des applications examinées utilisent plus de 500 composants.
Et encore, il faut que ces vulnérabilités soient corrigées un jour, car presque la moitié des composants inclus dans les codebases examinés ne montraient aucun signe de développement actif depuis deux ans ou plus. Tout le monde n’a pas la communauté de jQuery ou de React. Synopsys appelle même ce type de code « zombie » (mort-vivant).
Qui paye ses dettes (techniques) s’enrichit
En conclusion, on peut retenir que le phénomène open source, bien qu’établi depuis longtemps dans nos usines de production logicielles (à toute échelle, du développeur isolé aux multinationales), n’est que rarement bien appréhendé et bien géré par les équipes de développement.
La solution n’est ni simple ni monolithique : il faut combiner des outils d’analyse des licences, des outils de nomenclature logicielle (souvent appelés SBOM, recensant les composants utilisés dans vos applications), des outils d’analyse de code (de type SAST), mais aussi des outils d’automatisation de tests pour éviter les régressions lors d’une mise à jour des composants, etc.
Black Duck de Synopsys dont nous avons cité l’étude n’est pas le seul produit sur le marché, il y a aussi FOSSA, Mend, Snyk, ainsi que des produits (ou sous-produits) inclus dans des suites telles que Falcon de CrowdStrike.
Mais l’outillage ne fera rien sans une rigueur et une régularité dans l’examen et les mises à jour de vos composants. Même si les développeurs réagissent vite, les utilisateurs des briques open source un peu moins : la version 1 de log4j datant de 2015 était encore utilisée lors de l’apparition de la faille de 2021. Faites le calcul…
Et au risque de relancer une guerre de trolls en commentaires, l’open source n’est ni plus sécurisé ni moins sécurisé que du code propriétaire : les risques induits sont parfois similaires, mais souvent à traiter plus spécifiquement.
L’open source est partout, donc…
-
La source...
-
...et l’open source
-
De vieilles versions, et donc de vieilles failles qui trainent
-
Qui paye ses dettes (techniques) s’enrichit
Commentaires (75)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 07/10/2024 à 11h22
Maintenir les logiciels à jour est très chronophage. Et je ne parle même pas des librairies qui ne sont plus mises à jour. Si il faut les remplacer, dans pas mal de cas ca veut dire réécrire le code.
Pour ma part en tout cas il est impossible de rester constamment a jour
Le 07/10/2024 à 18h44
bibliothèque 🇫🇷 = library 🇬🇧
librairie 🇫🇷 = book shop 🇬🇧
Le 07/10/2024 à 21h33
bibliothèque = un lieu avec des livres
librairie = un lieu avec des livres
J'ai bien compris que librairie c'est une traduction d'un faux ami mais il se trouve qu'il peut tout de même faire l'affaire si on prend le critère que tu as donné.
Le 08/10/2024 à 07h34
Le 08/10/2024 à 21h10
Tu parles de la modalité d'accès :
- Quand tu télécharges le code, c'est comme si tu as emporté un bouquin.
- La bibliothèque ou la librairie c'est la où tu l'as trouvé (genre github, ...)
Cela n'empêche pas que je suis d'accord que le meilleur terme est bibliothèque. Mais si quelqu'un veut utiliser librairie, il n'a pas tort pour autant.
Le 09/10/2024 à 13h06
Et quand tu télécharges le code il disparait de github ou autres.
Le 10/10/2024 à 17h13
Bon courage pour traduire "file" qui est autant fiche que dossier/fichier (fichier étant aussi un meuble qui contient les fiches, donc un fichier n'est pas un document mais un ensemble de documents).
Ceci dit, c'est un abus courant dont on a quand même compris le sens.
Et on peut aussi se battre contre l'écran (= tout objet qui empêche de voir - "faire écran"), le terme film/pellicule dans le monde actuel, compiler qui correspond à l'agrégation des sources - terme qui est du coup le même que assembler, AUCUN d'entre eux ne représentant l'opération de transformer en code machine...
Rien ne va dans les termes du développement informatiques! Tout est de travers et il faut débrancher la partie littéraire de son cerveau ... ou accepter qu'un langue soit vivante.
Modifié le 13/10/2024 à 08h51
Le terme "file" était historiquement lié à la notion de "fichier", c'est-à-dire d'un ensemble de fiches. C'était bien le cas avec les bacs de cartes perforées que l'on donnait à manger aux machines. La technique a évolué, la représentation symbolique aussi, mais le terme de fichier, en tant qu'ensemble de données faisant sens en commun, garde sa pertinence. Cela ne me dérange donc pas de l'utiliser, surtout que cela sert d'accroche pour expliquer une histoire maintenant largement méconnue. 🙂
Le sens du terme "compilation" est effectivement lui aussi enraciné dans l'histoire et les modes de pensée des informaticiens des années 1950, qui avaient d'autres images mentales que les nôtres. Un assembleur est une sorte de compilateur, qui est essentiellement un traducteur, mais pas que, puisqu'il effectue cette traduction en compilant les informations venant de diverses sources (telles que les prototypes des fonctions à appeler, fournis dans d'autres documents). Il "compile" bien. 😁
N.B. : tous les compilateurs ne transforment pas en code machine. LaTeX compile des .tex en .dvi, par exemple.
Pour l'écran, en tant que surface plane, on en revient au cinéma, et cela fait sens.
Donc bien sûr que la langue est vivante, la preuve. Pour autant, si plusieurs mots existent, autant en prendre qui ne donnent pas des idées fausses sur le concept qu'ils cherchent à désigner.
Le 08/10/2024 à 07h41
Librairie : magasin où on achète les Livres neufs pour avoir le droit de les mettre dans sa bibliothèque.
Bibliothèque : lieu public ou privé où on peut trouver et consulter et donc faire usage des livres.
Le 08/10/2024 à 21h04
Librairie : magasin où on achète les Livres
neufs(il peut aussi y avoir des occasions) pour avoir le droit de les mettre dans sa bibliothèque.Bibliothèque : lieu public ou privé où on peut trouver et consulter et emprunter et donc faire usage des livres.
La vraie différence c'est que l'un est payant (certains arrivent à lire sur place) et à emporter alors que l'autre est sur place et peut s'emporter.
Le 08/10/2024 à 09h31
Digital peut "faire l'affaire", au lieu de numérique.
Le 08/10/2024 à 20h58
Quelle est la définition de crypter ? librairie est dans le dictionnaire mais je ne sais pas si crypter y est.
Personnellement, je donnerais la définition suivante : "Regarder les comptes de la crypte une nuit d'automne". Avec ma définition, cela ne fonctionne pas.
Le 09/10/2024 à 10h31
Le 13/10/2024 à 08h53
Le 08/10/2024 à 09h28
Mon mauvais
Le 10/10/2024 à 11h19
Le 07/10/2024 à 12h57
> La licence BSD permet une redistribution commerciale, mais pas la GPL, qui impose que tout ce qui en est dérivé soit distribué en GPL, compliquant les distributions commerciales.
Tu peux vendre un produit en GPL. Il faut juste que tu donnes la possibilité à l'acheteur de récupérer les sources du logiciel
Le 07/10/2024 à 13h12
Le 07/10/2024 à 13h25
Modifié le 08/10/2024 à 07h45
À noter que les modèles économiques fermés sont eux aussi diffusifs : si on doit payer chaque exemplaire d'un module que l'on redistribue dans son logiciel, on doit à son tour faire payer chaque exemplaire de son logiciel.
Modifié le 08/10/2024 à 08h48
Sinon, je trouve que contamination et diffusivité non pas la même portée. Avec la diffusivité, tu n'as pas cette notion de caractère obligatoire qui est dans le terme contamination. Tu as le caractère de propagation, pas d'obligation.
D'un point de vue purement sémantique, on parlerait d'ailleurs plutôt de diffusante pour parler de contaminante. La diffusivité se référant plutôt au caractère contaminant ou non.
Ensuite, c'est bien la première fois que je vois ce terme de diffusivité sur les licences. Et pourtant, vu le temps que j'ai passé à étudier les licences, je pense que je l'aurais vu si c'était un terme reconnu.
Enfin, même les milieux libristes utilisent le terme de "contaminant", et cela ne leur posent pas de problème.
Sauf que tu mélanges modèle économique et licence. Ce sont deux aspects très différents. Là, on parle de licence. Tu mélanges tout.
[edit]
Dernier point que j'ai oublié : la notion de diffusivité est trop proche de la liberté de distribution, et on pourrait croire qu'une licence diffusive est une licence qui autorise la distribution du logiciel.
Il y a déjà assez d'incompréhension autour de la notion d'open source, que beaucoup confondent avec source available. Inutile d'en rajouter.
Modifié le 08/10/2024 à 10h56
Le terme de "contaminant" est, comme je l'ai dit, biaisé, et incite les personnes à se détourner de ces catégories de licences, qui ont pourtant leur utilité pour mettre en œuvre certains modèles économiques.
Quand on parle de "licence diffusives/diffusante", on s'attache à définir le caractère propre de cette catégorie de licences, pas ce que l'utilisateur en fait (la rediffusion du logiciel modifié est un droit, pas un devoir). Peut-être un autre terme peut-il mieux convenir mais, en tout cas, " contaminant" est le mot de l'adversaire.
Modifié le 08/10/2024 à 13h30
Un ayant droit en terme de droit d'auteur, c'est un héritier de l'auteur.
Tu voulais probablement parler des titulaires du droit d'auteur (Chapitre III : Titulaires du droit d'auteur (Articles L113-1 à L113-10) du code de la propriété intellectuelle).
Édit : Il n'existe tellement pas que le code qui régit cela contient le mot propriété dans son nom !
Le 10/10/2024 à 07h43
1- j'ai vu des livres dont le titre parle des licornes. Que dois-je en déduire ? 😉
2- je sais bien que le code en question a le mot "propriété intellectuelle" dessus. Pourtant, le mot "propriétaire" n'est pas dedans. Cela interroge, et mon point est que justement c'est parce que ce terme est inadéquat. C'est un oxymore : il associe des contraires. Notez qu'en allemand, ce terme n'est pas le terme consacré ; on parle de "droit des biens immatériels". On est donc en droit de questionner la pertinence de l'usage du terme.
3- en droit d'auteur, on parle de la personne "titulaire des droits", et donc habilitée à les exercer. La personne détient les droits. Le raccourci avec ayant droit" est ici naturel. Votre définition est tout autant réductrice, car les ayant droits comprennent également les sociétés de gestion collective, qui n'appartiennent pas à la famille.
Le 10/10/2024 à 10h02
Je sais que ce terme a été utilisé ici, mais à tort. Il faut dire pour excuser Marc, qu'il reprenait le terme utilisé par les sociétés dont tu parles. Il faut dire qu'il est flatteur pour eux.
Quant aux licornes, quand on en parle ici, il s'agit de startups dépassant le milliard de dollars de valorisation.
Le 08/10/2024 à 11h11
Mais si tu veux être compris, si un terme s'est imposé, alors c'est lui qu'il faut utiliser.
Utilise le terme de diffusif/diffusant si cela te chante, mais ne vient pas te plaindre de ne pas être compris par la suite. J'ai juste l'impression de dialoguer avec un "wokiste du libre".
A mon avis, ce qui détourne le plus les gens d'utiliser des licences contaminantes, ce n'est pas à cause du mot utilisé pour la désigner, mais le caractère même qu'il représente.
Tu pourras toujours changer le mot, cela ne changera rien en pratique. Ce n'est pas pour rien que la GPL (pourtant, le terme "contaminant" n'apparait pas) est en perte de vitesse au profit de licence non copyleft comme la MIT ou non contaminante comme la LGPL.
Les licences "contaminantes" posent des problèmes, y compris avec d'autres licences libres/open source, contrairement aux licences non contaminantes.
L'adversaire... Rien que ça. C'est comme ça que tu désignes tout ceux qui ne sont pas d'accord avec toi ?
Le 10/10/2024 à 07h52
Aujourd'hui, maintenant que la nécessité de contribuer à l'écosystème dont on bénéficie est mieux comprise par l'ensemble du monde du numérique, peut-être cette obligation forte est-elle moins nécessaire. Pour autant, elle a un sens.
Votre repentance a été de courte durée : vous m'attaquez encore personnellement, sur mes motivations. Le terme "adversaire" (et non "ennemi" 😉) fait référence aux acteurs qui ont utilisé des termes discriminants envers le libre. Je rappelle que Microsoft utilisait le terme "copyright-impairing" pour qualifier les licences libres, afin d'interdire de lier du libre avec ses produits. Les mots ont un sens. Il fait utiliser les termes les plus factuels et neutres possibles, c'est juste mon point.
Le 10/10/2024 à 08h56
Donc, déjà, ce n'est pas l'adversaire, mais les adversaires. Ensuite, beaucoup "d'adversaires" sont des libristes convaincus. Le terme "contaminant" a été introduit et utilisé par les partisants même de licence non copyleft, pour bien faire comprendre la différence avec les licences avec copyleft fort comme la GPL. Ce n'est pas "contre" le libre en général. Eventuellement, c'est contre une vision précise du libre. Pas de bol.
C'est intéressant. Nombre de résultat de recherche (avec les guillemets, pour une recherche stricte) : 0. Nombre de résultats sans guillemets, beaucoup, mais aucun à ce sujet là, et encore moins avec Microsoft...
La dessus on est d'accord. Choisir le plus précisément un terme est effectivement important. Ce qui est important aussi, c'est de se faire comprendre.
Maintenant, chacun se fera son opinion. Vous utilisez des termes que vous seul utilisez. Tellement seul que même Google ne retourne aucun résultat. Vous projetez simplement vos idéaux dans les termes que vous voudriez que tout le monde utilise.
Pour ma part, je reste sur ma position : nos avis sont irréconciliables. Je m'arrête vraiment là. "Debunker" vos fausses affirmations (cf. loi de Brandolini), par exemple sur des notions que vous seul semblez connaitre (licence diffusante, copyright impairing, etc.), me prend un temps certains. J'ai autre chose à faire.
Bonne continuation.
Modifié le 13/10/2024 à 10h25
https://www.samba.org/samba/ms_license.html
#MyBad
C'est un fait que l'univers observable ne se réduit pas à la barre de recherche de Google.
Et vous n'avez, jusqu'à présent, aucunement réfuté mes arguments.
Bonne continuation.
Le 13/10/2024 à 10h46
Donc on a un projet, unique (Samba), qui utilise le terme "intellectualisme property impairing", et vous en concluez que, je vous cite "Je rappelle que Microsoft utilisait le terme "copyright-impairing" pour qualifier les licences libres" sans pour autant trouver ce même terme nulle part ailleurs, y compris chez Microsoft. Je dis bravo pour la désinformation.
A votre égard, j'hésite sincèrement entre naïveté et complotisme. Vous balancez des soi-disant faits, et si on ne réussi pas à en trouver trace, vous répondez ça ? Nan mais êtes vous réellement sérieux ?
Nan mais sérieusement ? (bis)
Et votre laïus sur licence diffusive (que vous êtes le seul à utiliser, encore une fois et dont on ne trouve nulle trace "sur Google") car soi-disant "contaminant" ce n'est pas neutre, mais que vous osez répondre dans un autre commentaire que "licence privatrice" ce n'est pas péjoratif).
Et si ça ne suffit pas, licence diffusive porte à confusion (au même titre que licence open source), car quand je lis licence diffusive, je lis "licence qui donne le droit de diffuser le logiciel" (tout comme beaucoup comprenne "licence qui donne le droit d'examiner le code" pour une licence open source).
Pour quelqu'un qui vante l'usage des mots et l'importance de leur signification, je vous trouve bien léger sur ce coup.
Je ne vais pas non replus reparler du "contaminant" introduit, selon vous, par "l'adversaire" du libre (au singulier, tel que vous l'avez employé)... alors que le terme a été introduit par des libristes eux-mêmes pour justement faire la distinction entre les licences à copyleft fort et les non copylefts....
Le 10/10/2024 à 17h03
Le 13/10/2024 à 09h22
Le 10/10/2024 à 11h26
C'est surtout un problème lié à la quasi-dématérialisation (et à l'opacité) de tout ce qui est numérique (et de tous les parallèles foireux avec les produits totalement physiques : copier c'est du vol ou de la contrefaçon, alors qu'aucun des termes n'est exact).
Le 10/10/2024 à 11h34
Pour la FSF par exemple, Microsoft est aussi privatrice avec Windows que ne l'est (ou plutôt était) ElasticSearch à l'époque où le produit était sous SSPL.
Pour la FSF toujours, les logiciels open source (selon la définition de l'OSI et reconnu comme tel toujours par l'OSI), mais non libre (c'est rare, mais ça existe) sont des logiciels privateurs.
Le 10/10/2024 à 14h59
Le 13/10/2024 à 09h57
La contrefaçon est la copie illicite d'un bien. Cela peut aussi convenir aux biens immatériels.
En revanche, "vol" ne convient effectivement absolument pas.
Le 14/10/2024 à 09h12
Je pense que toutes les législations qui s'appuient sur des textes nés avec et créés pour l'économie tangible ne sont pas pertinentes en ce qui concerne l'immatériel.
Le 07/10/2024 à 13h57
1) la commercialisation d'un logiciel X
2) la commercialisation d'un logiciel utilisant la brique X
Dans le premier cas, qu'importe la licence open source choisie, le résultat est le même. La société qui "vend" le logiciel X doit fournir à ses utilisateurs le code source, et ses utilisateurs ont tout à fait le droit de redistribuer le logiciel, sans redevances.
Dans le second cas, les licences non-copyleft (comme la BSD) permettent l'usage de la brique dans un logiciel commercial, sans venir bousculer la redistribution.
Par contre, les licences copyleft peuvent rendre la distribution commerciale sans intérêt, en fonction de la définition d'oeuvre dérivée. Dans le cas de la brique X sous GPL, le logiciel sera considéré comme une oeuvre dérivée, et la GPL devra donc s'y appliquer.
Si la brique X est sous LGPL par exemple, le logiciel ne sera pas considérée comme une oeuvre dérivée, et seule les modifications faite à la brique X seront couverte par la LGPL.
Au dela des aspects philosophiques, c'est aussi pour ça que la GPL est en perte de vitesse aujourd'hui, par rapport à une époque. Avec une licence GPL, on peut avoir des incompatibilités, y compris avec des licences open-source, et c'est alors un véritable casse-tête.
Les licences non-copyleft posent beaucoup moins de problèmes. Un exemple tout bête : la licence GPL est incompatible (ou en tout l'était, je ne sais pas ce qu'il en est aujourd'hui) avec les règles de l'AppleStore. Résultat des courses, un logiciel comme VLC ne pouvait pas être présent sur iOS. Ce fut d'ailleurs une des raisons évoquées pour le passage du coeur de VLC de la GPL vers la LGPL.
Modifié le 07/10/2024 à 14h14
Le 07/10/2024 à 14h18
A ce jour, la WTFYWPL est donc la seule licence libre connue non open-source.
Et ce n'est pas une blague. L'OSI rejette cette licence non pas parce qu'elle considère qu'elle ne respecte pas la définition de ses 10 points, mais parce qu'elle est assimilable au domaine publique et n'est donc pas une licence à proprement parler.
Comme quoi, les licences, c'est compliqué ^^
Le 07/10/2024 à 16h33
Pour ma part, j'ai l'habitude de licencier mes travaux perso sous MIT. Je ne vise pas spécialement d'ambition donc ça me convient. Par contre j'ai arrêté la Creative Commons pour mes ouvrages.
Le 08/10/2024 à 07h50
Le 07/10/2024 à 14h43
Le 08/10/2024 à 07h52
Le 08/10/2024 à 12h41
Le 13/10/2024 à 10h01
De fait, je vous rejoins sur le fait qu'il vaut mieux prendre une licence éprouvée "sur étagère" que de s'en bricoler une sur un coin de table. 😁
Le 07/10/2024 à 21h40
Modifié le 08/10/2024 à 07h58
Le 08/10/2024 à 07h57
Le 08/10/2024 à 08h45
Modifié le 08/10/2024 à 09h08
Le 08/10/2024 à 09h05
Le 08/10/2024 à 09h11
Modifié le 08/10/2024 à 09h29
Le choix de la licence n'est pas obligatoirement dicté par un modèle économique. Il n'y a qu'à voir l'exemple de Wordpress tout récemment.
Le 08/10/2024 à 10h45
Le basculement de licences entre fermé et ouvert (Blender, OpenCAScade, etc.) ou l'inverse, s'est à chaque fois fait sur des raisons économiques.
L'ignorer, c'est prendre un risque.
Le 08/10/2024 à 10h55
Le 08/10/2024 à 12h43
Le 08/10/2024 à 14h04
Et bien évidemment, vous êtes porteur de la vérité absolue. Eclairez nos pauvres âmes perdues de votre lumière divine...
Non, franchement, je crois qu'il est inutile de continuer cette discussion.
Modifié le 09/10/2024 à 09h18
[Edit :] dans une discussion, on a le droit de ne pas être d'accord. Les échanges d'arguments se font aussi au bénéfice de tous les lecteurs, qui se feront chacun leur propre opinion.
Le 09/10/2024 à 08h36
J'étais passable énervé hier par vos propos, car vous opposez aux faits que je relate, votre vision de comment les choses devraient être. Mais pas que, vous sous-entendez aussi que votre vision est la seule valable, a une portée universelle et que les personnes qui ne la suivent pas ont "besoin d'être éduquées" (ce que certains peuvent tout aussi trouver insultant). Tout ceci, dans un argumentaire très léger mais malgré tout péremptoire.
A partir de là... l'émotionnel a pris le dessus, et j'avoue que je n'en suis pas fier.
Voilà ce que je sous-entendais dans mes derniers propos de manière ironique mais aussi irrespectueuse (et pour ce dernier point, mes excuses encore).
Maintenant, nous avons deux visions opposées et irréconciliables. Et si j'en respecte le fond (chacun à le droit d'avoir un avis), je n'en déplore malgré tout pas moins la forme.
Modifié le 13/10/2024 à 09h14
[Edit: voici ma réponse développée]
Notre divergence de fond porte sur le fait que j'affirme qu'il y a une causalité entre le choix du modèle économique et les licences, et vous seulement une corrélation.
Vos arguments contre les miens sont qu'il y a des gens qui démarrent des projets communautaires apparemment sans avoir réfléchi à leur modèle économique, et que donc la pratique donnerait tort à ma théorie.
Vous pensez que certaines actions contraires invalideraient le raisonnement. C'est vrai en sciences, mais ici il s'agit ici de pratiques sociales. Votre raisonnement est donc erroné.
Prenons l'analogie du port du casque à moto. Il y a une causalité directe entre l'absence du port du casque et la gravité des accidents. Vous semblez dire que le fait que certaines personnes ne portent pas le casque montre qu'il n'y aurait pas de causalité entre les deux. Ici, l'accident, c'est de planter son projet.
Ce que j'affirme, c'est que les licences servent à mettre en œuvre des modèles économiques, et qu'il faut réfléchir à son modèle avant de choisir sa licence. C'est tout.
Le fait que des porteurs de projet ne le fassent pas (votre contre-argument supposé) ne prouve rien. Tant mieux s'ils prennent la bonne catégorie de licences dès le début.
Notez cependant que certains projets changent de licence (argument que j'ai apporté). Et pourquoi ? Parce qu'ils changent de modèle économique (Blender, etc.).
Quand vous parlez de licences, vous semblez vous restreindre aux licences libres. J'ai développé le cas du choix de modèle economique entre licences fermées et libres, qui est pourtant clair. Je n'ai eu aucun contre-argument de votre part.
Je maintiens donc mon point.
Qui plus est, vous parlez de corrélation, mais n'indiquez pas quelle serait alors le lien entre les deux.
Vous dites regretter la "forme" de nos échanges, surtout par le fait que je ne me range pas à vos arguments. J'ai développé pourquoi, et je n'ai jamais été irrespectueux envers vous.
Ceci sera donc mon dernier message sur le sujet. Les lecteurs se feront leur propre opinion.
Modifié le 13/10/2024 à 09h06
D'autres types de licences permettent de mettre en œuvre d'autres modèles de redistribution de la valeur, où la valeur ajoutée n'est pas nécessairement rendue à l'écosystème d'origine.
Le 07/10/2024 à 13h20
Modifié le 07/10/2024 à 13h47
Le 07/10/2024 à 14h45
Le 07/10/2024 à 18h26
Le 07/10/2024 à 18h45
Par contre j'ignorais que les licences étaient incompatibles entre elles
Le 07/10/2024 à 19h11
Il y a même pour je ne sais plus quels logiciel et bibliothèque une exception pour rendre compatible des licences qui ne l'étaient pas.
Le 07/10/2024 à 19h58
Le 08/10/2024 à 07h39
On oppose "libre" à "non libre" ou "fermé".
Le 08/10/2024 à 11h00
Le 09/10/2024 à 08h08
RedHat joue un rôle d'intégrateur utile, et produit un peu de code, mais je vous rejoins sur le reproche qui est que, dans le modèle économique de service, en général, trop peu de la valeur est "remontée" aux communautés autrices, ce qui pénalise les multiples écosystèmes d'édition sur lesquels les intégrateurs de service s'appuient.
Le 10/10/2024 à 14h50
C'était Centos (tout court) qui était un rebuild.
Le 10/10/2024 à 17h04
Le 10/10/2024 à 17h11
Le débat s'est rasséréné de lui-même et se montre ma foi fort nourri, tenter de le résumer ou pire de l'arbitrer exposerait la team à des dommages collatéraux regrettables !