Comme promis, une première partie a été mise en ligne sur un dépôt GitLab de l'institut. L’équipe avait en effet décidé de procéder en deux phases, « afin de permettre une meilleure gestion de la montée en charge pour une mise à disposition éventuelle d’une application opérationnelle début juin ».
La phase 1 (« transparence ») « limite l’ampleur des interactions du fait des contraintes sur les ressources de l’équipe-projet StopCovid, pleinement mobilisée dans le développement, dans le cadre d’un agenda restreint. Selon la pertinence technique de ces premiers retours, elles seront invitées à rejoindre le pool de contributeurs du projet pour gagner en efficacité. Souhaitée la plus courte possible, la durée de cette phase 1 sera dépendante des contraintes liées aux phases de tests et au calendrier de mise en disponibilité de l’application ».
La phase 2 (« contribution ») « permettra à la communauté de contribuer au logiciel tout en respectant les mécanismes de régulation qui seront mis en place (essentiellement via de la revue de code et une acceptation ou un rejet par un comité de validation) ».
La politique de publication du code source développé dans le cadre du projet repose par ailleurs sur trois catégories :
- Une partie (restreinte) qui n’est pas publiée car correspondant à des tests ou à des parties critiques pour la sécurité de l’infrastructure ; en revanche une documentation, publiée sur le GitLab présentera les grands principes de sécurité mis en œuvre sur StopCovid (afin de respecter les demandes ou avis de la CNIL et les 56 recommandations de l’ANSSI) ;
- Une partie qui est rendue publique sans qu’un appel à contribution ne soit attendu (les propositions seront bien entendu étudiées) : cela correspond par exemple à des parties qui implémentent directement des spécifications très précises ;
- Une partie qui relève à strictement parler de l’open source, avec des appels à contribution qui sont attendus : cela concerne le cœur de l’application, notamment l’implémentation du protocole ROBERT.
Sur Twitter, Rayna Stamboliyska s'étonne cela dit que le fichier de licence précise que « les codes sources du projet StopCovid sont publiés sont 2 formes : Dans un dépôt de code public. Dans ce cas, ils sont publiés sous licence MPL 2.0, sauf indication contraire dans les en-têtes de fichier. Des snapshots du code de certains composants dont le développement n'est pas ouvert à contributions. Dans ce cas, ils sont publiés sous une licence ad-hoc, qui ne permet ni leur rediffusion (sous forme original ou modifiée), ni leur exploitation ».
Ce qui, pour elle, pourrait expliquer le choix de la licence MPL (Mozilla Public License), qui permet l'intégration de fichiers couverts par une autre licence, et sans obligation d'en publier le code source.
6 des 13 collaborateurs de Lunabee, le studio chargé de développer les applications Android et IOS, travailleraient sur StopCovid, précisait France 3 début mai. 4 figurent comme « auteurs » du code mis en ligne, sous pseudo : Darth Vader, Kick-Ass, Batman et Watchman, sans que l'on sache si ces pseudos visent à les protéger (l'ANSSI recommande que leurs postes soient « dédiés et durcis de préférence (pas de BYOD) », alors qu'ils étaient en télétravail)... ou d'une blague de geeks.
À peine ouvert, le GitLab de StopCovid enregistrait sa première issue (section apparemment retirée depuis), émanant de quelqu'un laissant entendre qu'il travaillerait pour l'ANSSI, et expliquant ce pourquoi il convenait de s'assurer de l'effacement d'une clef secrète contenue dans l'application.
Commentaires (38)
#1
La sécurité par l’obscurité ce n’est jamais bon. Planquer une partie du code pour cette raison ça craint. Après planquer des clefs c’est autre chose par contre on est d’accord.
#2
Une clef publique commune, je peux comprendre.
Une clef privée individuelle, je peux comprendre.
Mais une clef privée commune ? WTF ??
#3
Scénario film d’horreur hypothétique:
#4
StopCovid ne passera pas par moi !
#5
La partie “Issue” a été bloquée visiblement… Du code privé et pas le code serveur, c’est très rassurant tout ça, je vais m’empresser de… ne jamais au grand jamais… installer ces saletés sur mes périphériques.
#6
Après l’application Stop-terroriste, qui devait permettre de repérer et traiter les clusters terroriste, l’application Stop-Covid, faite par les mêmes équipes " />
#7
Du coup, savoir que Batman veille au développement du programme, ça a du bon ou pas ?
Vous avez 4 heures.
" />
#8
Tout cela est tellement brouillon.
#9
Traçage numérique, non merci. Voir la dérive à Singapour.
#10
#11
Par pitié, stop ^^. On ne va pas faire comme le dépôt GitHub sur l’app, où il y avait déjà des retours et complaintes (et même des PR) alors même que le seul fichier présent n’était qu’un unique fichier README ne contenant qu’une seule phrase.
Attendons de voir du code pour juger.
#12
#13
Une appli bizarre, avec un process de développement douteux, pleins d’acteurs de moyenne compétence, basé sur un concept fumeux (centralisé).
Ça va être beau, et l’INRIA va tellement perdre en crédibilité.
#14
Tu peux m’en dire plus ?
#15
#16
#17
#18
Pourquoi ils sont passé de github a gitlab pour cette app uniquement?
#19
" />
Uniquement en mode examen " />
#20
Très content d’être très loin du sujet, je dois avouer. Ça ne peut que merder.
Mais ouais, peut être que la communauté VLC est plus compétente que ces gens là: plus d’utilisateurs, et plus de complexité à gérer…
#21
#22
#23
#24
#25
#26
#27
#28
#29
Ce truc n’étant utile que si beaucoup de monde l’installe… On devine le succès qu’elle aura
#30
Autant je suis complètement pro-open source en général, autant là, c’est se tirer une balle dans le pied. Les pauvres devs vont en chier à gérer les shitstorms sur Twitter, les moqueries pas forcément justifiées etc. Bref pas le genre d’ambiance sereine qui sied à un travail de qualité
#31
A quel niveau Gitlab a plus de sens que Github pour stocker du code fermé ?
Github gère aussi les repositories privés, pas mal d’entreprises s’en servent ainsi.
Dans le cas présent, l’INRIA a sa propre instance Gitlab, donc c’est logique qu’ils publient leurs travaux dessus. Le code source de l’attestation de sortie était sur Github parce que le service rattaché au ministère de l’intérieur qui l’a développée s’en sert en mode SaaS.
#32
#33
=> Cédric O appris que Github était possédé par MS, il a du exiger que le code soit déposer sur un serveur souverain.
Vu sa loghorré sur le refus d’utiliser les API de Google et Apple, je ne serrais guère surpris par une décision comme celle-là.
#34
Justement non, car le COVID19 ne venait-il pas des chauves-souris ???
#35
Bon et pour les smartphones un peu ancien, on aura quoi ???
#36
Ce processus de développement collaboratif, qui a été contraint par l’agenda du projet, va s’ouvrir progressivement pour permettre de proposer des évolutions à l’application, de signaler des bugs, et de suggérer des changements pour la documentation, tout en suivant la prise en compte ou non de ces propositions. Pour ce faire, le choix de la plate-forme Gitlab d’Inria a été retenu.
L’INRIA a été chargée de mener le projet, elle dispose de sa propre plateforme Gitlab depuis au moins un an (age des plus vieux projets), pas besoin de fantasmer sur les gesticulations d’un secrétaire d’Etat.
Accessoirement, Gitlab c’est pas souverain. Ca a été créé par des Ukrainiens et le siège social de la société est aux USA.
#37
Un masque et une solution hydro-alcoolique!!
#38
maintenant c’est à nous TOUS de réussir le déconfinement, AV. que le ‘Gouv.’
ne nous REconfine à nouveau, en :
j’imagine :
et….j’ai bien dispersé le Virus, partout !!!" />