StopCovid : Inria démarre la publication du code source et de la documentation

Comme promis, une première partie a été mise en ligne sur un dépôt GitLab de l'institut. L’équipe avait en effet décidé de procéder en deux phases, « afin de permettre une meilleure gestion de la montée en charge pour une mise à disposition éventuelle d’une application opérationnelle début juin ».

La phase 1 (« transparence ») « limite l’ampleur des interactions du fait des contraintes sur les ressources de l’équipe-projet StopCovid, pleinement mobilisée dans le développement, dans le cadre d’un agenda restreint. Selon la pertinence technique de ces premiers retours, elles seront invitées à rejoindre le pool de contributeurs du projet pour gagner en efficacité. Souhaitée la plus courte possible, la durée de cette phase 1 sera dépendante des contraintes liées aux phases de tests et au calendrier de mise en disponibilité de l’application ».

La phase 2 (« contribution ») « permettra à la communauté de contribuer au logiciel tout en respectant les mécanismes de régulation qui seront mis en place (essentiellement via de la revue de code et une acceptation ou un rejet par un comité de validation) ».

La politique de publication du code source développé dans le cadre du projet repose par ailleurs sur trois catégories :

• Une partie (restreinte) qui n’est pas publiée car correspondant à des tests ou à des parties critiques pour la sécurité de l’infrastructure ; en revanche une documentation, publiée sur le GitLab présentera les grands principes de sécurité mis en œuvre sur StopCovid (afin de respecter les demandes ou avis de la CNIL et les 56 recommandations de l’ANSSI) ;  
• Une partie qui est rendue publique sans qu’un appel à contribution ne soit attendu (les propositions seront bien entendu étudiées) : cela correspond par exemple à des parties qui implémentent directement des spécifications très précises ;
• Une partie qui relève à strictement parler de l’open source, avec des appels à contribution qui sont attendus : cela concerne le cœur de l’application, notamment l’implémentation du protocole ROBERT.

Sur Twitter, Rayna Stamboliyska s'étonne cela dit que le fichier de licence précise que « les codes sources du projet StopCovid sont publiés sont 2 formes : Dans un dépôt de code public. Dans ce cas, ils sont publiés sous licence MPL 2.0, sauf indication contraire dans les en-têtes de fichier. Des snapshots du code de certains composants dont le développement n'est pas ouvert à contributions. Dans ce cas, ils sont publiés sous une licence ad-hoc, qui ne permet ni leur rediffusion (sous forme original ou modifiée), ni leur exploitation ».

Ce qui, pour elle, pourrait expliquer le choix de la licence MPL (Mozilla Public License), qui permet l'intégration de fichiers couverts par une autre licence, et sans obligation d'en publier le code source.

6 des 13 collaborateurs de Lunabee, le studio chargé de développer les applications Android et IOS, travailleraient sur StopCovid, précisait France 3 début mai. 4 figurent comme « auteurs » du code mis en ligne, sous pseudo : Darth Vader, Kick-Ass, Batman et Watchman, sans que l'on sache si ces pseudos visent à les protéger (l'ANSSI recommande que leurs postes soient « dédiés et durcis de préférence (pas de BYOD) », alors qu'ils étaient en télétravail)... ou d'une blague de geeks.

À peine ouvert, le GitLab de StopCovid enregistrait sa première issue (section apparemment retirée depuis), émanant de quelqu'un laissant entendre qu'il travaillerait pour l'ANSSI, et expliquant ce pourquoi il convenait de s'assurer de l'effacement d'une clef secrète contenue dans l'application.