Puisqu’on vous dit que oui car tout le monde peut regarder dans le code que tout va bien et que de toutes façons y a pas de méchant dans les développeurs qui font de l’open source c’est bien connu.
A moins que…
- https://www.zdnet.com/article/the-linux-foundation-identifies-the-most-important-open-source-software-components-and-their-problems/
- https://www.theregister.co.uk/2020/02/20/linux_foundation_report/
- https://www.coreinfrastructure.org/programs/census-program-ii/
- https://www.veracode.com/security/open-source-vulnerabilities
- https://www.veracode.com/sites/default/files/pdf/resources/ipapers/everything-you-need-to-know-open-source-risk/index.html
Open source contre code propriétaire
| Open source | Propriétaire | |
| Coût | Licence souvent gratuite, mais pas toujours | Licence souvent payante, mais pas toujours |
| Support | Souvent inexistant. Quand il existe, il est souvent payant. | Souvent existant. Quand il existe, il est courant qu’il soit payant |
| Auditabilité | Théoriquement complète | Non possible sauf accord (rare) |
| Recours juridique | Possible mais souvent sur une base limitée (licence open source figée, périmètre limité) | Toujours possible car les contrats sont généralement négociables (même avec Microsoft), et sur l’ensemble du périmètre |
| Maîtrise des intervenants | Aucune sur le vrai open source. Les grandes gueules et les très bons techniquements s’imposent naturellement, mais rien n’empêche un état ou un service d’espionnage de contribuer. | Sélection par les RH et, dans le meilleur des mondes, sur les compétences. |
| Influence sur la roadmap | Théoriquement on peut ajouter ce qu’on veut, mais : * Soit il faut avoir beaucoup d’influence pour imposer sa vision * Soit il faut le faire soi-même | Contrairement aux idées reçues, beaucoup de fournisseurs écoutent leurs clients, même AWS ou Microsoft. |
Souveraineté
J’ai vu des initiatives parlant de « souveraineté digitale » vanter les mérites de l’open source. Je ne vois pas le rapport entre les deux, puisque la souveraineté ne peut s’établir qu’avec une stratégie forte, alors que l’open source est, par construction, une oeuvre de stratégie faible (car la plupart du temps partagée entre de nombreux acteurs).
Par ailleurs, la souveraineté digitale est une chimère, impossible à atteindre, car le seul moyen effectif d’être souverain, à savoir être indépendant sur la prise de décision de mise en oeuvre de son environnement digital, ne peut être atteint qu’en créant soi-même de toute pièce cet environnement. Le seul moyen d’atteindre partiellement un certain niveau de souveraineté serait d’avoir de bonnes relations avec ses fournisseurs.
Or au vu de la complexité du monde informatique actuel, mon avis est que c’est juste impossible. On peut réduire sa dépendance, par exemple en multipliant les fournisseurs, mais comment rester maître de son contexte ? Pour cela il faudrait :
- Concevoir ses propres processeurs et en garantir l’intégrité (demandez ce qu’on pense chez Intel de SGX et de Spectre) ;
- Concevoir son propre système d’exploitation (Linux comprend aujourd’hui des millions de lignes de code) ;
- Concevoir ses propres équipements réseaux et ses propres équipements de télécommunication ;
- Concevoir ou maîtrises l’ensemble du parc logiciel que vous utilisez.
Or l’open source n’est que la modélisation d’un fournisseur supplémentaire (ou complémentaire), avec juste quelques particularités qui le distinguent d’un fournisseur ordinaire : structure souvent informe et non centralisée, avec très peu de leviers d’action ou de négociation (faute d’interlocuteur), stratégie ni contrôlable ni contrôlée la plupart du temps, etc.
Mono-fournisseur
Bon, parlons sérieusement. Si on prend « souveraineté nationale » dans le sens « éviter la dépendance avec un fournisseur monopolistique », alors oui, dans ce cas, on peut y voir des avantages, mais en réfléchissant et en agissant avec discernement.
Le seul truc que j’ai retenu de mes cours d’économie est qu’il ne faut pas être mono-client, ou mono-fournisseur (et éventuellement éviter aussi d’être mono-produit, ce qui est pourtant le cas de toutes les start-ups). C’est une question de bon sens et d’hygiène économique, afin de ne pas être pieds et poings liés à un seul fournisseur. En ce sens, l’open source permet de diversifier ses sources, ce qui est très bien.
Cela devient moins bien quand l’open source devient un dogme, et qu’on remplace un fournisseur classique (mais connu) contre ce type de fournisseur informe et incontrôlable. La seule consolation qu’on peut avoir est qu’un projet open source ne s’arrêtera pas du jour au lendemain, et qu’on pourra continuer à le développer si on le souhaite. Mais il ne faut pas oublier que dans ce cas les investissements ne seront plus du tout les mêmes, et que cela reviendra à tout faire soi-même.