De la bonne consommation de l’open source

l’open source cela implique quoi ?

• Définition : Logiciels dont le code source est accessible, modifiable et redistribuable.
• Pourquoi consommer de l’open source ?
  • Innovation rapide
  • Réduction des coûts
  • Communautés actives
  • Transparence et sécurité

=> capacicté à tester sans engagement

Trois acquis :

Les enjeux

Les bonnes pratiques de consommation

Évaluer avant d’adopter

• Contrôler la qualité du code
• Contrôler la documentation
• Evaluer la communauté, cadre de fondation ?

Respecter les licences

• Comprendre & respecter les obligations (GPL, MIT, Apache, etc.)

Contribuer en retour

• Remonter les bugs, proposer des améliorations

Les outils pour évaluer et gérer les logiciels open source

Outils d’analyse de dépendances

• OWASP Dependency-Check
• Snyk
• WhiteSource

Gestion de licences

• FOSSA
• ClearlyDefined

Suivi de la sécurité

• GitHub Security Advisories
• CVE Details

Les critères de sélection d’un projet open source

• Licence
  • Compatibilité avec votre usage (commercial, modification, redistribution)
• Taille et activité de la communauté
  • Nombre de contributeurs actifs
  • Fréquence des commits
• Santé du projet
  • Dernière mise à jour
  • Nombre d’issues ouvertes/fermées
• Documentation
  • Qualité et clarté
• Adoption
  • Utilisateurs connus, entreprises utilisatrices

Processus type d’intégration open source

Sites et ressources utiles

• OpenHub : Analyse de la santé des projets, statistiques sur les contributeurs
• Libraries.io : Suivi des dépendances et des mises à jour
• GitHub : Statistiques, issues, pull requests
• Stack Overflow : Support communautaire
• Choose a License : Comprendre les licences open source
• https://awesomeopensource.com

Cellule d’étude/veille open source

Au sein de l’OSPO

Problèmes de licence

Types de licences

• Permissives : MIT, Apache 2.0, BSD
• Copyleft : GPL, AGPL

Risques

• Incompatibilité avec votre modèle commercial
• Obligation de redistribution du code modifié

Exemple

• Utiliser une librairie GPL dans un logiciel propriétaire peut obliger à ouvrir tout le code source

Exemples concrets

• Docker
  • Licence Apache 2.0, grande communauté, documentation riche
• ElasticSearch
  • Changement de licence (SSPL), impact sur l’adoption
• React
  • Licence MIT, très populaire, forte communauté

Suivi de la santé des projets

Métriques & outils

Conclusion et recommandations

Les éléments clefs, les incontournables

Liens utiles

• Open Source Initiative
• SPDX License List
• Awesome Open Source

Vidéo sur Youtube