URL: https://linuxfr.org/users/arodier/journaux/les-pique-assiettes-de-l-open-source Title: Les pique-assiettes de l'open source Authors: Andre Rodier Date: 2024年10月11日T19:01:37+02:00 License: CC By-SA Tags: open_source, noyau_linux, clamav, debian et capitalisme Score: 25 Chers utilisateurs, contributeurs et passionnés de Debian, Je travaille dans l'informatique depuis plus de vingt ans, essentiellement sur Debian. J'ai tendance à privilégier les activités non informatiques pendant mon temps libre, c'est pourquoi je ne contribue pas vraiment à Debian, du moins pas directement. J'ai néanmoins un projet open source personnel qui s'appuie sur Debian en déjà fait la promotion, et j'y consacre encore du temps. Je fais de gros efforts sur la documentation, ainsi que sur l'utilisation exclusive de paquets Debian. Je signale parfois des bugs ou j'envoie des messages détaillés pour reproduire ou contourner les problèmes aux mainteneurs de paquets. Je travaille actuellement pour une entreprise qui utilise intensivement des serveurs Debian, à la fois sur site et sur un fournisseur de cloud majeur et bien connu. Malheureusement, je constate que tout service, qui n'est pas directement implémenté par Debian, est systématiquement remplacé par des services propriétaires de fournisseurs tiers. Voici quelques exemples simples, qui peuvent être pertinents ou non pour notre utilisation, mais certains d'entre vous sont certainement familiers avec : - Une société externe fournit un système de détection d'intrusion basé (IDS) et des mises à jour automatiques, en utilisant des forks propriétaires des logiciels open source Wazuh et Nessus et une console agréable hébergée dans le cloud. - Un antivirus propriétaire est installé, au lieu d'utiliser ou de contribuer aux bases de données de virus ClamAV ou aux modules de sécurité du noyau Linux. - Une plateforme d'hébergement de code source git centralisée, où git n'a en fait pas besoin d'être centralisé. - Un système de suivi des bogues hébergé dans le cloud, un wiki, etc... - etc... La plupart du temps, le discours commercial de ces entreprises est le suivant : « concentrez-vous sur votre activité principale et laissez-nous gérer le reste ». Ou quelque chose qui s'en rapproche. Je sais que sur de nombreux aspects, l'utilisation de ces outils propriétaires est avantageuse. Ils sont souvent plus aboutis, plus modernes que le « vieil » outil open source que personne ne maintenait plus. Cependant, d'après mon expérience, il y a quelques problèmes, à la fois mineurs et majeurs. Je vais commencer par les mineurs, pour finir par le majeur, à mon humble avis. Vous pouvez être en désaccord avec les côtés mineur et majeur, selon votre expérience. Les problèmes « mineurs » : - L'intégration avec Debian, ou même Linux FHS, n'est pas très bonne, voire inexistante (genre télécharger et extraire ce fichier zip, et exécuter install.sh). La plupart du temps, ils s'en moquent. - Ces plateformes cloud sont verrouillées (vendor lock-in), il est difficile de les quitter, vers un autre fournisseur. Le jour où vous voulez vous les quitter, c'est trop tard, trop coûteux et trop complexe. - Elles introduisent des dépendances envers un service ou un site tiers, qui lorsqu'ils sont cassés prenne votre activité en otage. - Elles « attirent » des groupes pirates, car il devient extrêmement intéressant d'injecter une porte dérobée sur leur site (attaques de chaîne d'approvisionnement / supply chain attack). - Elles contribuent à centraliser Internet entre les mains de gros monopoles, alors qu'internet était initialement pensé comme un réseau décentralisé et libre. - On se retrouve avec des boîtes noires sur nos serveurs, auxquels nous devons faire aveuglément confiance sur nos systèmes. Maintenant, le dernier point, le plus important, du moins à mon avis : toute cette attitude contribue à la lente agonie des logiciels « libres » et/ou « open source ». Pour la plupart de ces entreprises, les contributions à Debian — ou même à Linux, ou aux logiciels open source — sont souvent très faibles, voire inexistantes. Je pense aussi aux nombreux projets open source qui ont péri parce qu'il n'y avait qu'un ou quelques développeurs. Je pense aussi aux vulnérabilités récemment découvertes, ou aux portes dérobées introduites dans les principales bibliothèques open source, qui s'appuyaient sur le temps libre d'un développeur. La réaction hypocrite des grandes entreprises qui « découvrent » soudainement que la bibliothèque qu'elles utilisaient était le travail d'une seule personne, décident de lancer une « nouvelle » version du même logiciel, parfois avec une licence non libre. Le pire, c'est que, la plupart du temps, l'argent dépensé pour ces services tiers pourrait être utilisé pour embaucher des développeurs, profiter aux communautés open source et obtenir de meilleurs résultats. Suis-je trop pessimiste ? Pensez-vous, comme moi, que ces entreprises sont des « profiteurs » de l'open source ?