Construire un écosystème open source plus sécurisé et durable | Ordinateur hebdomadaire
Une fois de plus, une faille de sécurité critique a mis en lumière la réalité actuelle de l’open source. Les amateurs non rémunérés qui entretiennent des soi-disant « projets Nebraska », du nom de la bande dessinée XKCD désormais omniprésente, « Dependency », portent le poids du monde moderne sur leurs épaules.
Tous les logiciels comportent des bogues, y compris des vulnérabilités de sécurité critiques. Les fournisseurs propriétaires sont célèbres pour le Patch Tuesday. Certains cherchent des preuves que le fait de payer les mainteneurs augmente la sécurité, mais soyons honnêtes : les amateurs de logiciels libres font déjà un très bon travail en produisant des logiciels de haute qualité. Oui, grâce à des efforts tels qu’OpenSSF, nous devons identifier, hiérarchiser, auditer et corriger de manière proactive les vulnérabilités des composants critiques. Des incidents tels que celui affectant XZ Utils devraient nous inciter à le faire.
Des incidents comme XZ devraient également nous inciter à arrêter d’épuiser les mainteneurs. L’épuisement professionnel du responsable de XZ, Lasse Collins, a été un facteur décisif dans le succès de l’attaque d’ingénierie sociale de XZ. Cela l’a rendu plus vulnérable aux pressions pour accepter le personnage de « Jia Tan » en tant que co-responsable. XZ est un autre symptôme très médiatisé de la crise sous-jacente de la durabilité de l’open source.
La durabilité de l’open source, telle que je la définis, c’est quand toute personne intelligente et motivée peut produire des logiciels open source largement adoptés et être payée équitablement sans franchir d’obstacles. Se lancer dans des défis prend de nombreuses formes : créer une société de conseil, travailler sur des logiciels propriétaires, produire du contenu éducatif. Tous ces éléments peuvent subventionner le travail open source d’un individu, ce qui est formidable, mais ils ne le soutiennent pas directement. Lorsque les choses se passent bien, l’open source est perdant, car les incitations sont mal alignées.
Tant que nous n’aurons pas pris en compte les aspects économiques de l’open source et réglé les incitations, nous continuerons à épuiser les mainteneurs. L’open source est comme un restaurant. La plupart des entreprises dînent et se précipitent. Les approches fiscales telles que les fonds technologiques souverains peuvent être une partie de la réponse. Les modèles de partage des revenus, tels que celui récemment annoncé par HeroDevs et OpenJS, constituent une autre approche prometteuse. En fin de compte, nous avons besoin que les entreprises de l’ensemble de l’économie se mobilisent et rémunèrent les responsables de la maintenance. Les bailleurs de fonds FOSS sont un début, mais il reste encore beaucoup à faire.
Ouvrir les vannes des entreprises est un défi, peut-être le plus difficile. Juste derrière, il y en a une autre : où doit aller l’argent ? Comment pouvons-nous allouer le plus efficacement possible les fonds aux responsables de la maintenance de manière à garantir un écosystème prospère et productif ? Les plates-formes directes au responsable telles que GitHub Sponsors etThanks.dev sont une méthode, mais cela peut imposer une charge trop lourde aux entreprises pour s’engager dans la longue traîne de leurs dépendances. J’en viens de plus en plus à considérer les fondations open source comme ayant une opportunité majeure ici. En fait, une nouvelle législation européenne formalise leur rôle de gestionnaire des logiciels open source.
Nous devons fournir aux développeurs individuels comme Lassie Collin une voie claire à suivre lorsqu’ils réussissent avec un projet open source. Peut-être qu’à l’avenir, les fondations encourageront l’innovation en acquérant des projets populaires et en rémunérant l’auteur original pour qu’il prenne en charge la maintenance. Ensuite, une fois au sein d’une fondation, les modèles « prenez ce que vous voulez » peuvent fournir des incitations économiques compatibles avec la motivation intrinsèque au cœur de l’open source. Des outils tels que Open Collective Expenses et Liberapay Teams existent déjà pour vous aider.
Les incidents de sécurité comme XZ seront toujours avec nous. Nous devrions travailler à les atténuer. Nous devrions également nous efforcer d’offrir des récompenses économiques appropriées à ceux qui, année après année, proposent d’excellents logiciels open source. Avec une approche réfléchie, nous pouvons équilibrer la liberté individuelle et la créativité au cœur de l’open source avec la rigueur et la sécurité qu’exige le monde moderne.
Chad Whitacre est responsable de l’open source chez Sentry, spécialiste de la surveillance des performances des applications et du suivi des erreurs. Ingénieur logiciel depuis toujours, il a également travaillé, entre autres, pour la société de cybersécurité Proofpoint.