Pourquoi copier du code open source est une pratique à risque ?

Le par  |  58 commentaire(s)
Examen Code Source

Une tribune de Christian Hindre, Directeur Commercial Europe de Flexera qui propose des solutions de gestion des licences, conformité, cybersécurité et installation de logiciels aux entreprises.

Christian-HindreLes logiciels open source (OSS) ont changé les modes de programmation : désormais, la communauté des développeurs partage du code, fournit des recommandations quant à son utilisation, et y apporte constamment des améliorations. Presque toutes les nouvelles applications et tous les build systems modernes intègrent automatiquement des centaines de composants ou de bibliothèques open source (ainsi que d'autres composants et fichiers tiers).

Le problème ? Certains membres de la communauté des développeurs sont parfois très désinvoltes dans leur façon de copier des fichiers, des extraits de code, des images, des binaires, voire des modules open source entiers sans en respecter les licences. Et même s'ils se montrent extrêmement rigoureux quant au fait de mentionner les licences présentes dans leurs principaux composants, il y a de fortes chances que le code qu'ils utilisent soit en réalité du code copié et amélioré.

Comment résoudre ce problème ? Analyser le code source à l'aide de techniques de recherche de similarités est la seule solution pour découvrir les composants tiers qu'il contient avec fiabilité. Dans le cas contraire, les risques sont considérables, que ce soit au niveau des licences ou des vulnérabilités. « D'où vient le code ? », « Quels sont nos droits d'utilisation ? », et « Y a-t-il eu des changements sur le plan de la sécurité depuis que nous l'avons copié ? » sont autant de questions nécessitant l'attention des équipes de développement.

La recherche de similarités (ou « source code fingerprinting ») permettra donc de comparer le code source d'une application avec une base de données de projets open source pour voir s'il contient des éléments copiés et collés ou importés autrement.

Pourquoi et à quel moment les développeurs copient-ils du code ?

Un certain nombre de scénarios peuvent pousser un développer à copier du code dans son code base. Imaginons qu'il ait besoin de code de construction (« build up ») et de libération (« tear down ») pour utiliser un composant logiciel. Ce code est souvent issu du projet original, et montre comment effectuer un appel dans le composant global. Généralement, les droits d'auteur et de licence ne sont pas clairement renseignés au sein de ce squelette de code, et ce dernier se retrouve dans le code du projet principal de l'utilisateur. Les projets open source peuvent aider dans ce type de scénario en étiquetant plus clairement le squelette et l'exemple de code, et en tenant compte des différences potentielles en matière de licences entre le code du composant principal et le code nécessaire pour effectuer un appel dans ce composant principal.

Autre cas fréquent : lorsqu'une routine principale est nécessaire, mais que le reste du composant ne l'est pas. Les algorithmes, les helpers et les données statiques en sont des exemples fréquents.

Quels sont les considérations et les potentiels problèmes vis-à-vis des licences ?

Comment distinguer le convenable de l'excès ? Cette question a été au cœur de nombreuses discussions sur la copie de code ces dernières années, cristallisant les tensions entre ceux qui estiment n'avoir pas d'autre moyen de procéder et les fervents défenseurs des droits d'auteur et licences. Il semble clair que les informations relatives aux droits et autorisations d'une page entière de code source doivent être préservées ; mais comment procéder lorsque quelques lignes ou une méthode ont été récupérées dans un fichier qui ne contenait pas ces renseignements ? Dans de tels cas de figure, votre avocat en propriété intellectuelle sera votre meilleur allié pour obtenir des conseils quant aux mesures appropriées. Si vous n'en avez pas, ou si le vôtre n'a pas d'opinion en matière de politiques vis-à-vis des licences open source, de nombreux conseillers externes spécialisés dans ce domaine pourront vous aider.

En tout état de cause, l'absence d'informations de licence doit être un avertissement clair signalant au développeur qu'il s'apprête potentiellement à provoquer des problèmes plus en aval dans le cadre du projet. À ce stade, il suffit parfois d'un peu de vigilance et d'un minimum d'investissement pour s'éviter des maux de tête par la suite.

Quels sont les problèmes avec le mode de fonctionnement actuel des développeurs ?

Les développeurs ont tendance à vouloir mentionner leurs sources. Le problème est que souvent, les droits d'auteurs et d'informations de licence ne sont pas juxtaposés au fragment copié, et le programmeur peut faire preuve d'une certaine désinvolture en se contentant d'un simple « code piqué à xyz » ou « pompé sans vergogne sur le projet Foo ». Bien que les formulations de ce genre ne soient guère appréciées par les équipes juridiques, elles attestent néanmoins de la volonté du développeur de reconnaître la propriété du code copié. Il est donc important de fournir des conseils clairs sur la bonne façon d'importer des morceaux de code à des fins de respect des licences et pour les analyses de sécurité. La conformité passe par le maintien ou l'inclusion des informations adéquates. Surtout, ces renseignements sont indispensables pour permettre aux individus qui consulteront le code source d'en distinguer les auteurs.

Quelles sont les politiques généralement adoptées en matière de copie de code source ?

Bien que chaque entreprise ait ses propres considérations ou scénarios à gérer, les politiques dédiées proposent souvent des procédures appropriées pour enregistrer l'auteur, ses coordonnées, ainsi que la licence liée à l'extrait en question.

En l'absence de telles informations, l'entreprise formule parfois une requête auprès de l'auteur original en lui indiquant le code concerné et le cas d'utilisation, et sollicite une licence spécifique le cas échéant. Si ces questions restent sans réponse ou si la licence sélectionnée par l'auteur est contraire à la politique du développeur, ce dernier choisit généralement de partir à la recherche d'une nouvelle source de code pour résoudre son problème.

En les formant, en créant des politiques faciles à suivre et en analysant le code source pour identifier les problèmes potentiels, il devient possible de créer un produit conformer et sûr, et surtout d'éviter les problèmes de maintenance de code source au moment de la mise en production ou dans le contexte d'une fusion-acquisition.

Complément d'information

Vos commentaires Page 1 / 6

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2017566
Pourquoi copier/coller un article du journal du net datant du 31 mai dernier ?
Le #2017567
ifadoli a écrit :

Pourquoi copier/coller un article du journal du net datant du 31 mai dernier ?


Pourquoi pas ?

Pour le lire bien évidemment ...
Le #2017573
"de nombreux conseillers externes spécialisés dans ce domaine pourront vous aider."

- Je vois, pour gratter du code et en réutiliser (pour ne pas réinventer la roue), il te faut de bons consultants. Et pour moi, la consultance = Ventilateur-pompe-à-fric qui essaye de t'expliquer comment tu dois dépenser ton pognon en se servant allègrement au passage.
Anonyme
Le #2017575
Bah voyons. Le gars vend des solutions de gestion de licence et nous explique que l'open-source c'est le mal.

Et après on va me répéter que sur GNT ces pseudo-tribunes à répétition n'ont rien à voir avec de la pub déguisée...
Le #2017576
Ulysse2K a écrit :

"de nombreux conseillers externes spécialisés dans ce domaine pourront vous aider."

- Je vois, pour gratter du code et en réutiliser (pour ne pas réinventer la roue), il te faut de bons consultants. Et pour moi, la consultance = Ventilateur-pompe-à-fric qui essaye de t'expliquer comment tu dois dépenser ton pognon en se servant allègrement au passage.


lol. tellement vrai
Le #2017581
ifadoli a écrit :

Pourquoi copier/coller un article du journal du net datant du 31 mai dernier ?


ce n'est pas un article du Journal du net, c'est une Tribune libre rédigée par Christian Hindre, Directeur Commercial Europe de Flexera, et que n'importe quel site web français ou étranger est libre de reprendre gratuitement sur son site, et c'est ce qu'on a fait car on a considéré que le contenu était intéressant.
Le #2017584
Sicyons a écrit :

Bah voyons. Le gars vend des solutions de gestion de licence et nous explique que l'open-source c'est le mal.

Et après on va me répéter que sur GNT ces pseudo-tribunes à répétition n'ont rien à voir avec de la pub déguisée...


je vais le répéter une DERNIERE FOIS, on ne touche RIEN sur ces articles, pas un centime d'euro de façon directe ou indirecte, il n'y a AUCUN accord entre eux et nous, on ne les connait pas et eux non plus, c'est assez clair pour toi la ?

On publie ce type d'article uniquement le week end, quand on est au repos et qu'on a peu d'articles à nous sur le site, et uniquement quand on considère que le sujet est intéressant pour nos lecteurs. Sache que ces "Tribunes libres" ou autres "avis d'experts", on en reçoit des dizaines par semaine par mail mais qu'on n'en publie qu'une ou max deux qui sont jugées intéressantes pour nos lecteurs. Maintenant si cela ne te plait pas, ne les lit pas mais arrête avec ta diffamation parce que sinon dans ce cas la c'est moi qui pourrait en avoir marre
Anonyme
Le #2017591
Bruno a écrit :

Sicyons a écrit :

Bah voyons. Le gars vend des solutions de gestion de licence et nous explique que l'open-source c'est le mal.

Et après on va me répéter que sur GNT ces pseudo-tribunes à répétition n'ont rien à voir avec de la pub déguisée...


je vais le répéter une DERNIERE FOIS, on ne touche RIEN sur ces articles, pas un centime d'euro de façon directe ou indirecte, il n'y a AUCUN accord entre eux et nous, on ne les connait pas et eux non plus, c'est assez clair pour toi la ?

On publie ce type d'article uniquement le week end, quand on est au repos et qu'on a peu d'articles à nous sur le site, et uniquement quand on considère que le sujet est intéressant pour nos lecteurs. Sache que ces "Tribunes libres" ou autres "avis d'experts", on en reçoit des dizaines par semaine par mail mais qu'on n'en publie qu'une ou max deux qui sont jugées intéressantes pour nos lecteurs. Maintenant si cela ne te plait pas, ne les lit pas mais arrête avec ta diffamation parce que sinon dans ce cas la c'est moi qui pourrait en avoir marre


Je poste ici mon dernier message, trouvant juste répugnante ta réaction, et indigne de quelqu'un se prétendant journaliste, tout en donnant une image désolante de l'état d'esprit du site. Parce que m'envoyer un message privé pour me menacer de poursuite judiciaire pour un tel post est juste très inquiétant de la part de ceux qui se veulent journalistes. Si tu ne supportes pas les critiques alors fais comme d'autres : ferme les commentaires ou fais jouer la censure. Oser m'agresser ainsi en privé bien à l'abri du jugement des lecteurs devrait te pousser toi à te poser des questions. La liberté d'expression est apparemment importante pour toi tant que l'on ne critique pas GNT. Edifiant.

Je ne porte aucune accusation mais ne fais que dire ce que beaucoup ont remarqué. Que vous ne profitiez pas de ces tribunes n'en fait pas moins qu'elles n'ont rien d'objectif et donc n'ont rien à faire dans un tel contexte d'information. Pour vous ce n'est pas de la pub, mais pour eux si. Ils s'en servent comme pub déguisée. Je l'ai dit maintes et maintes fois et le répète. Un journaliste devrait quand même se poser de telles questions. Mais le mot journaliste est bien galvaudé de nos jours, non, Mr Bruno ?

Depuis le temps que je m'exprime ici, tout le monde sait si je suis un troll ou un adepte de la diffamation. Attaque moi en justice si tu as du temps à perdre et si tu veux prouver que le ridicule ne tue pas. Si donner un avis ici est devenu de la diffamation alors je n'aurai aucun mal à trouver des sites d'information sérieux, et GNT n'aura aucun mal à perdre ses lecteurs. Une telle attitude est juste pitoyable. Donc amusez-vous bien entre vous. Les lecteurs ne dependent pas de vous, c'est le contraire, et tu sembles l'oublier par ton attitude.

Donc au plaisir de retrouver ailleurs ceux avec qui j'ai passé de bons moments dans ces commentaires.
Le #2017594
Sicyons a écrit :

Bruno a écrit :

Sicyons a écrit :

Bah voyons. Le gars vend des solutions de gestion de licence et nous explique que l'open-source c'est le mal.

Et après on va me répéter que sur GNT ces pseudo-tribunes à répétition n'ont rien à voir avec de la pub déguisée...


je vais le répéter une DERNIERE FOIS, on ne touche RIEN sur ces articles, pas un centime d'euro de façon directe ou indirecte, il n'y a AUCUN accord entre eux et nous, on ne les connait pas et eux non plus, c'est assez clair pour toi la ?

On publie ce type d'article uniquement le week end, quand on est au repos et qu'on a peu d'articles à nous sur le site, et uniquement quand on considère que le sujet est intéressant pour nos lecteurs. Sache que ces "Tribunes libres" ou autres "avis d'experts", on en reçoit des dizaines par semaine par mail mais qu'on n'en publie qu'une ou max deux qui sont jugées intéressantes pour nos lecteurs. Maintenant si cela ne te plait pas, ne les lit pas mais arrête avec ta diffamation parce que sinon dans ce cas la c'est moi qui pourrait en avoir marre


Je poste ici mon dernier message, trouvant juste répugnante ta réaction, et indigne de quelqu'un se prétendant journaliste, tout en donnant une image désolante de l'état d'esprit du site. Parce que m'envoyer un message privé pour me menacer de poursuite judiciaire pour un tel post est juste très inquiétant de la part de ceux qui se veulent journalistes. Si tu ne supportes pas les critiques alors fais comme d'autres : ferme les commentaires ou fais jouer la censure. Oser m'agresser ainsi en privé bien à l'abri du jugement des lecteurs devrait te pousser toi à te poser des questions. La liberté d'expression est apparemment importante pour toi tant que l'on ne critique pas GNT. Edifiant.

Je ne porte aucune accusation mais ne fais que dire ce que beaucoup ont remarqué. Que vous ne profitiez pas de ces tribunes n'en fait pas moins qu'elles n'ont rien d'objectif et donc n'ont rien à faire dans un tel contexte d'information. Pour vous ce n'est pas de la pub, mais pour eux si. Ils s'en servent comme pub déguisée. Je l'ai dit maintes et maintes fois et le répète. Un journaliste devrait quand même se poser de telles questions. Mais le mot journaliste est bien galvaudé de nos jours, non, Mr Bruno ?

Depuis le temps que je m'exprime ici, tout le monde sait si je suis un troll ou un adepte de la diffamation. Attaque moi en justice si tu as du temps à perdre et si tu veux prouver que le ridicule ne tue pas. Si donner un avis ici est devenu de la diffamation alors je n'aurai aucun mal à trouver des sites d'information sérieux, et GNT n'aura aucun mal à perdre ses lecteurs. Une telle attitude est juste pitoyable. Donc amusez-vous bien entre vous. Les lecteurs ne dependent pas de vous, c'est le contraire, et tu sembles l'oublier par ton attitude.

Donc au plaisir de retrouver ailleurs ceux avec qui j'ai passé de bons moments dans ces commentaires.


Merci de ne pas inverser la situation, c'est TOI qui est en tort, TOI qui fait preuve de diffamation répétée, donc si tu n'assumes pas ce que tu écris c'est TON problème, pas le mien.

La liberté d'expression est toujours respectée sur GNT, demande à n'importe quel ancien membre et tu verras que je fais preuve d'une immense patience y compris pour les trolls, tant qu'ils respectent certaines règles de base (pas d'insultes, de racisme, de diffamation.) bref ce qui est LEGALEMENT répréhensible. Et c'est bien MON devoir, en tant que responsable éditorial de GNT, de te rappeler pour la nième fois que tu fais preuve de DIFFAMATION en répétant à l'infini que ce type d'articles est du publi rédactionnel. je t'ai déjà répondu une fois, deux fois, plusieurs fois mais tu sembles vouloir continuer à colporter ces fausses allégations donc oui, si tu continues tu seras banni du site et poursuivi en justice, aucun souci pour moi de le déclarer publiquement, je ne ferais qu'appliquer la loi française que tu sembles manifestement ignorer, bien planqué que tu crois être derrière ton clavier.

La liberté d'expression a des limites légales qu'il faut respecter que cela te plaise ou non, si tu veux t'en abstenir, libre à toi, mais il faudra alors en assumer les conséquences.
Le #2017595
Bruno a écrit :

Sicyons a écrit :

Bruno a écrit :

Sicyons a écrit :

Bah voyons. Le gars vend des solutions de gestion de licence et nous explique que l'open-source c'est le mal.

Et après on va me répéter que sur GNT ces pseudo-tribunes à répétition n'ont rien à voir avec de la pub déguisée...


je vais le répéter une DERNIERE FOIS, on ne touche RIEN sur ces articles, pas un centime d'euro de façon directe ou indirecte, il n'y a AUCUN accord entre eux et nous, on ne les connait pas et eux non plus, c'est assez clair pour toi la ?

On publie ce type d'article uniquement le week end, quand on est au repos et qu'on a peu d'articles à nous sur le site, et uniquement quand on considère que le sujet est intéressant pour nos lecteurs. Sache que ces "Tribunes libres" ou autres "avis d'experts", on en reçoit des dizaines par semaine par mail mais qu'on n'en publie qu'une ou max deux qui sont jugées intéressantes pour nos lecteurs. Maintenant si cela ne te plait pas, ne les lit pas mais arrête avec ta diffamation parce que sinon dans ce cas la c'est moi qui pourrait en avoir marre


Je poste ici mon dernier message, trouvant juste répugnante ta réaction, et indigne de quelqu'un se prétendant journaliste, tout en donnant une image désolante de l'état d'esprit du site. Parce que m'envoyer un message privé pour me menacer de poursuite judiciaire pour un tel post est juste très inquiétant de la part de ceux qui se veulent journalistes. Si tu ne supportes pas les critiques alors fais comme d'autres : ferme les commentaires ou fais jouer la censure. Oser m'agresser ainsi en privé bien à l'abri du jugement des lecteurs devrait te pousser toi à te poser des questions. La liberté d'expression est apparemment importante pour toi tant que l'on ne critique pas GNT. Edifiant.

Je ne porte aucune accusation mais ne fais que dire ce que beaucoup ont remarqué. Que vous ne profitiez pas de ces tribunes n'en fait pas moins qu'elles n'ont rien d'objectif et donc n'ont rien à faire dans un tel contexte d'information. Pour vous ce n'est pas de la pub, mais pour eux si. Ils s'en servent comme pub déguisée. Je l'ai dit maintes et maintes fois et le répète. Un journaliste devrait quand même se poser de telles questions. Mais le mot journaliste est bien galvaudé de nos jours, non, Mr Bruno ?

Depuis le temps que je m'exprime ici, tout le monde sait si je suis un troll ou un adepte de la diffamation. Attaque moi en justice si tu as du temps à perdre et si tu veux prouver que le ridicule ne tue pas. Si donner un avis ici est devenu de la diffamation alors je n'aurai aucun mal à trouver des sites d'information sérieux, et GNT n'aura aucun mal à perdre ses lecteurs. Une telle attitude est juste pitoyable. Donc amusez-vous bien entre vous. Les lecteurs ne dependent pas de vous, c'est le contraire, et tu sembles l'oublier par ton attitude.

Donc au plaisir de retrouver ailleurs ceux avec qui j'ai passé de bons moments dans ces commentaires.


Merci de ne pas inverser la situation, c'est TOI qui est en tort, TOI qui fait preuve de diffamation répétée, donc si tu n'assumes pas ce que tu écris c'est TON problème, pas le mien.

La liberté d'expression est toujours respectée sur GNT, demande à n'importe quel ancien membre et tu verras que je fais preuve d'une immense patience y compris pour les trolls, tant qu'ils respectent certaines règles de base (pas d'insultes, de racisme, de diffamation.) bref ce qui est LEGALEMENT répréhensible. Et c'est bien MON devoir, en tant que responsable éditorial de GNT, de te rappeler pour la nième fois que tu fais preuve de DIFFAMATION en répétant à l'infini que ce type d'articles est du publi rédactionnel. je t'ai déjà répondu une fois, deux fois, plusieurs fois mais tu sembles vouloir continuer à colporter ces fausses allégations donc oui, si tu continues tu seras banni du site et poursuivi en justice, aucun souci pour moi de le déclarer publiquement, je ne ferais qu'appliquer la loi française que tu sembles manifestement ignorer, bien planqué que tu crois être derrière ton clavier.

La liberté d'expression a des limites légales qu'il faut respecter que cela te plaise ou non, si tu veux t'en abstenir, libre à toi, mais il faudra alors en assumer les conséquences.


Je confirme, tu es extrêmement patient avec les trolls ... Bien plus que je ne le serai

Attention, pas d'ambiguïté, je ne dis pas du tout que tu es un troll Sicyons
Suivre les commentaires
Poster un commentaire
Anonyme