Journal Les pique-assiettes de l'open source

Posté par Andre Rodier (site web personnel) le 11 octobre 2024 à 19:01. Licence CC By‑SA.

Étiquettes :

oct.

2024

Chers utilisateurs, contributeurs et passionnés de Debian,

Je travaille dans l'informatique depuis plus de vingt ans, essentiellement sur Debian. J'ai tendance à privilégier les activités non informatiques pendant mon temps libre, c'est pourquoi je ne contribue pas vraiment à Debian, du moins pas directement.

J'ai néanmoins un projet open source personnel qui s'appuie sur Debian en déjà fait la promotion, et j'y consacre encore du temps. Je fais de gros efforts sur la documentation, ainsi que sur l'utilisation exclusive de paquets Debian. Je signale parfois des bugs ou j'envoie des messages détaillés pour reproduire ou contourner les problèmes aux mainteneurs de paquets.

Je travaille actuellement pour une entreprise qui utilise intensivement des serveurs Debian, à la fois sur site et sur un fournisseur de cloud majeur et bien connu. Malheureusement, je constate que tout service, qui n'est pas directement implémenté par Debian, est systématiquement remplacé par des services propriétaires de fournisseurs tiers.

Voici quelques exemples simples, qui peuvent être pertinents ou non pour notre utilisation, mais certains d'entre vous sont certainement familiers avec :

Une société externe fournit un système de détection d'intrusion basé (IDS) et des mises à jour automatiques, en utilisant des forks propriétaires des logiciels open source Wazuh et Nessus et une console agréable hébergée dans le cloud.
Un antivirus propriétaire est installé, au lieu d'utiliser ou de contribuer aux bases de données de virus ClamAV ou aux modules de sécurité du noyau Linux.
Une plateforme d'hébergement de code source git centralisée, où git n'a en fait pas besoin d'être centralisé.
Un système de suivi des bogues hébergé dans le cloud, un wiki, etc…
etc…

La plupart du temps, le discours commercial de ces entreprises est le suivant : « concentrez-vous sur votre activité principale et laissez-nous gérer le reste ». Ou quelque chose qui s'en rapproche. Je sais que sur de nombreux aspects, l'utilisation de ces outils propriétaires est avantageuse. Ils sont souvent plus aboutis, plus modernes que le « vieil » outil open source que personne ne maintenait plus.

Cependant, d'après mon expérience, il y a quelques problèmes, à la fois mineurs et majeurs. Je vais commencer par les mineurs, pour finir par le majeur, à mon humble avis. Vous pouvez être en désaccord avec les côtés mineur et majeur, selon votre expérience.

Les problèmes « mineurs » :

L'intégration avec Debian, ou même Linux FHS, n'est pas très bonne, voire inexistante (genre télécharger et extraire ce fichier zip, et exécuter install.sh). La plupart du temps, ils s'en moquent.
Ces plateformes cloud sont verrouillées (vendor lock-in), il est difficile de les quitter, vers un autre fournisseur. Le jour où vous voulez vous les quitter, c'est trop tard, trop coûteux et trop complexe.
Elles introduisent des dépendances envers un service ou un site tiers, qui lorsqu'ils sont cassés prenne votre activité en otage.
Elles « attirent » des groupes pirates, car il devient extrêmement intéressant d'injecter une porte dérobée sur leur site (attaques de chaîne d'approvisionnement / supply chain attack).
Elles contribuent à centraliser Internet entre les mains de gros monopoles, alors qu'internet était initialement pensé comme un réseau décentralisé et libre.
On se retrouve avec des boîtes noires sur nos serveurs, auxquels nous devons faire aveuglément confiance sur nos systèmes.

Maintenant, le dernier point, le plus important, du moins à mon avis : toute cette attitude contribue à la lente agonie des logiciels « libres » et/ou « open source ». Pour la plupart de ces entreprises, les contributions à Debian — ou même à Linux, ou aux logiciels open source — sont souvent très faibles, voire inexistantes.

Je pense aussi aux nombreux projets open source qui ont péri parce qu'il n'y avait qu'un ou quelques développeurs.

Je pense aussi aux vulnérabilités récemment découvertes, ou aux portes dérobées introduites dans les principales bibliothèques open source, qui s'appuyaient sur le temps libre d'un développeur. La réaction hypocrite des grandes entreprises qui « découvrent » soudainement que la bibliothèque qu'elles utilisaient était le travail d'une seule personne, décident de lancer une « nouvelle » version du même logiciel, parfois avec une licence non libre.

Le pire, c'est que, la plupart du temps, l'argent dépensé pour ces services tiers pourrait être utilisé pour embaucher des développeurs, profiter aux communautés open source et obtenir de meilleurs résultats.

Suis-je trop pessimiste ? Pensez-vous, comme moi, que ces entreprises sont des « profiteurs » de l'open source ?

# profiteurs

Posté par Psychofox (Mastodon) le 11 octobre 2024 à 20:26. Évalué à 2 (+1/-2). Dernière modification le 11 octobre 2024 à 20:26.

L'idée d'ėtre profiteur ou pas, c'est un faux débat.

Quand quelqu'un utilise un logiciel proprio, on ne dit pas qu'il profite des logiciels proprios.

Bref la question n'a aucun sens.

Pour le reste, les logiciels open source ne souffrent pas spécialement parce que les logiciels proprios existent.

Si l'existence du proprio t'emmerde, écrits à ton député qu'il propose une loi qui interdirait d'utilisation et de vente tout logiciel qui ne respecte pas les 4 libertés fondamentales des logiciels libre.

Répondre
# Mon avis à moi

Posté par cg le 11 octobre 2024 à 21:30. Évalué à 5 (+3/-0). Dernière modification le 11 octobre 2024 à 21:32.
Cet article de blog, de l'auteur initial de Ruby On Rails, est intéressant sur la dualité "c'est libre mais en fait partage le pognon ou je me fâche" qui fait la une de la presse depuis quelques temps déjà : Automattic is doing open source dirty.

La concentration sur quelques acteurs est problématique, et l'est d'autant plus que souvent c'est des boîtes américaines, avec les problèmes de souveraineté que ça pose. Couplée à la difficulté d'obtenir des versions "à installer chez soi" (on premises) de ces logiciels, on se retrouve avec une exfiltration forcée des données. C'est TRÈS problématique.

Concernant le vendor lock-in, c'est aussi vrai quand tu passes d'un outil libre à un autre. Si Spip avait un module d'import depuis un blog Wordpress, ce serait étonnant que l'inverse existe et que l'équipe de Spip fournisse un joli outil pour aller de Spip à Wordpress. Je ne crois pas que personne ait de solution à ça, sauf à utiliser le plus petit dénominateur commun, genre IMAP pour migrer ses mails, Webdav pour les fichiers…

Sur l'intégration des install.sh des outils proprios, j'ai une expérience plutôt positive finalement. En général c'est prévu pour RHEL/CentOS à minima, de plus en plus souvent pour Ubuntu, et retrouver les libs manquantes est facile. Et souvent, ça fonctionne quand même bien sans rien faire.

l'argent dépensé pour ces services tiers pourrait être utilisé pour embaucher des développeurs, profiter aux communautés open source et obtenir de meilleurs résultats.

Sur ce point, je suis totalement d'accord et je te fais un câlin :). Parfois on remplace un Redmine pour un Jira parce qu'il y a plein de fonctions sexy, mais dont on pourrait se passer sans souffrir plus que ça. Ou bien on trouve que Blender c'est compliquay¹ (oui, c'est compliqué, mais Maya aussi c'est compliqué).

Elles introduisent des dépendances envers un service ou un site tiers, qui lorsqu'ils sont cassés prenne votre activité en otage

Oui ! Et c'est un vrai problème. Très peu d'entreprises ont un schéma ou une matrice permettant de montrer à quel endroit tel ou tel composant (interne ou externe) intervient, pour détecter les points chauds et préparer de la redondance. Même sans parler d'analyse de risque, dès que tu es sur des petites structures, il n'y a pas de plan B. Et comme les TPE/PME sont l'immense majorité des entreprises en France, ben ça tache quand AWS est en carafe…

Pour finir, je vais être un peu cruel, mais ClamAV ou d'autres anti-virus qui ne fonctionnent que par signature statique, non, en 2024, ça ne sert quasiment plus à rien. Il faut un EDR à minima, et les outils proprios sont malheureusement vraiment en avance sur ce terrain :(.
1. La killer feature de Blender ? Avoir inversé le bouton gauche et droite pour les sélections. ↩
Répondre
- [^] # Re: Mon avis à moi
  
  Posté par LeBouquetin (site web personnel, Mastodon) le 11 octobre 2024 à 23:02. Évalué à 6 (+4/-0).
  
  "Les entreprises", c'est le méchant facile. Les premiers concernés sont les libristes eux-mêmes qui, pour la majorité d'entre eux, ne font pas la promotion de la diversité.
  
  Dès lors qu'on est à miser sur le plus fort, ça va dans le sens d'un appauvrissement de l'écosystème, de l'apparition de leaders démesurés.
  
  Les grands acteurs monopolistiques ne sont que la partie émergée de l'iceberg, l'iceberg étant le monde tel qu'il tourne aujourd'hui : des humains qui ont besoin de suivre les quelques leaders dans leur domaine.
  
  Quelques exemples, juste pour illustrer les logiciels très largement promus par "la communauté" : gitlab (vend des licences propriétaires), mattermost (vend des licences propriétaires), vscode (bel outil de stratégie de leadership logiciel à des fins commerciales), chrome (vous savez, le navigateur dont presque tout le code est opensource…), Android (mais c'est trop tard), onlyoffice (vend des licences propriétaires) … mais aussi des services tels que protonmail (c'est pas interopérable, c'est Opensource côté client - mais comme ils font une fondation, ça va), Amazon (les plus gros utilisateurs et exploitants économique de l'outillage technique opensource - mais c'est tellement puissant qu'on le plébiscite et qu'on le conseille à tout bout de champ), …
  
  Les entreprises répondent à un marché. Beaucoup de libristes sont de véritables technophiles et s'intéressent à la technologie avant la philosophie des produits qu'ils affectionnent et ne s'intéressent pas aux enjeux et aux conséquences car c'est pas ce qui les intéresse (et c'est tout à fait leur droit).
  
  Les entreprises ne font que surfer sur cette vague avec beaucoup d'habileté et d'ingéniosité.
  
  Celles et ceux qui ont vécu les débuts de Google le savent. Don't be evil. Google c'est génial c'est des pro libre. D'ailleurs c'est tellement des libristes que Android, c'est un ersatz de AOSP avec toutes les couches stratégiques remplacées par des versions propriétaires. Google a viré le protocole CalDAV de ses mobiles tellement c'était pas intéressant d'être interopérable. Idem pour leur messagerie historiquement XMPP (et compatible avec les serveurs alternatifs).
  
  Mais s'ils ont pu faire ça, c'est pas juste parce qu'ils étaient fourbes. Toute une communauté de passionnés les soutenait, en faisait la promotion et balayait d'un revers de main les arguments de méfiance. Les autres - qui n'y comprenaient rien, n'ont fait que suivre ce mouvement.
  
  Si j'en reviens à l'article de blog du directeur technique de Basecamp je trouve son intervention très intéressante. Il parle de ruby on rails qui est un outil pour son business et donne son avis sur WordPress qui est le coeur du business de Automatic. C'est radicalement différent.
  
  Parenthèse, Basecamp a posé son infra chez Amazon pendant des années. Amazon c'est pas vraiment l'acteur-contributeur du logiciel libre. Il a alimenté la bête.
  
  Et en même temps, j'ai beau chercher et j'ai toujours pas trouvé le repo de code source de Basecamp (ironie). Pourquoi il vient donner des leçons à Automatic ?
  
  Répondre