La sécurité et la stabilité des projets Open Source
Objectifs
Analyser la durabilité des projets Open Source, comprendre les risques liés à leur maintenance, et promouvoir les bonnes pratiques pour leur soutien et leur développement durable.
Résumé
L'Open Source est omniprésent et crucial, mais il cache une instabilité due à des moyens limités et une gouvernance fragile. Des incidents comme la faille Earthbleed d'OpenSSL soulignent l'importance de contributions des utilisateurs.
Description
L'Open Source soulève des questions de pérennité et de durabilité, bien qu'il soit largement utilisé et intégré dans notre quotidien. Les projets Open Source, comme OpenSSL, souvent perçus comme stables, sont pourtant fréquemment sujets à des renouvellements technologiques constants. La faille de sécurité majeure connue sous le nom d'Earthbleed, qui a affecté OpenSSL, a mis en évidence les capacités limitées du projet et le manque de soutien des utilisateurs.
En réponse, la Core Infrastructure Initiative, lancée par des entreprises telles que Google et Intel sous l'égide de la Linux Foundation, vise à renforcer les projets critiques comme OpenSSL, OpenSSH, GNU PG et le noyau Linux. Malgré ces efforts, de nombreux projets restent vulnérables en raison d'une gouvernance insuffisante et de la dépendance à un petit nombre de contributeurs clés, un problème souvent désigné par le terme 'bus factor'.
La structure actuelle des développements, où de nombreux projets dépendent de micro-projets également fragiles, exacerbe ces vulnérabilités. Exemples récents comme l'incident de Leftpad soulignent la nécessité pour les utilisateurs finaux de contribuer activement aux projets Open Source qu'ils utilisent, pour assurer leur pérennité et leur sécurité.