Open Source
Open Source - Qu'est-ce que c'est ?
|
||||
| |
Source
Nom que l'on donne aux "codes" écrits par les programmeurs lorsqu'ils écrivent un programme. On parle de "Code Source" (dans le langage qu'il a choisi d'utiliser : Java, C++, Pascal, Fortran, Php, Cobol, Lisp, Algol, Basic...).
Ce nom est masculin : "le code source" et, par abréviation, "le source".
Open
Libre et Ouvert - Public. Le code source des programmes "Open source" est public. Ceux qui souhaitent l'avoir, le regarder, le modifier, y contribuer etc. ... peuvent se le procurer. Il s'agit exactement de l'inverse des programmes "propriétaires" dont le code source est tenu secret.
Open source et sécurité informatique
Le débat fait rage entre les tenant des codes propriétaires (normal, ils en font commerce, comme Microsoft) et les tenant des codes libres et ouverts. Les tenants des codes propriétaires avancent comme argument que les codes sources ouverts permettent aux crapules d'étudier le code et d'y trouver les failles pour lancer des attaques. Les tenants des codes ouverts avances que ceux-ci sont analysés par des milliers, des centaines de milliers de programmeurs acquis à la cause des logiciels en Open Source, libres et gratuits, et que les failles, s'il y en a, sont ainsi très rapidement corrigées.
Il faut corriger ce mythe des relectures des codes sources de l'Open Source par tout le monde : les programmeurs ayant une vision globale d'un grand projet et capables de lire le code dans le détail en matière de sécurité sont extrêmement peu nombreux au monde. Ils sont généralement cantonné à un travail sur une routine particulière.
Il faut aussi tordre le coup au mythe du reverse engineering des codes fermés pour remonter au code source. Un logiciel propriétaire doit faire l'objet d'un reverse engineering pour en reconstruire le code et comprendre ce qu'il fait puis y découvrir les failles ce qui ajoute une étape longue et particulièrement pointue aux attaques contre les logiciels propriétaires. En réalité ils subissent le plus souvent des attaques beaucoup plus rapides, de type force brute, jusqu'à trouver les failles - sans passer par du reverse engineering (et la découverte de failles "par hasard" et le plus grand pourvoyeur d'attaques contre les logiciels fermés).
En terme de réactivité, il faut reconnaître que les tenants de l'Open Source ont raison et que les logiciels Open Source font preuve d'une réactivité sans aucune commune mesure avec les tenants des logiciels propriétaires. Ce qu'il faut donc retenir : les corrections de failles sont faites infiniment plus rapidement dans le monde de l'open source que dans le monde du code fermé.
Une étude publiée en septembre 2007 a été conduite auprès de 1.000 responsables informatiques de la région Asie / Pacifique (Australie, Chine, Inde Corée). Il s'agit d'évaluer la pénétration des technologies en open source avec, notamment, les raisons de leur déploiement. L'accès à l'étude complète est payant mais IDC en a publié un abstract. On peut voir, sur ce graphique, que la première raison de l'adoption de l'Open Source par les grands responsables est la meilleure réponse en terme de sécurité (puis viennent des raisons budgétaires, un bon support offert par les vendeurs et de meilleurs outils de gestion et utilitaires). On peut voir, également, que la recommandation par une entreprise amie a une certaine influence et on peut dire que les "conseilleurs" sont satisfaits de leurs solutions Open Source au point de les recommander.
La perception d'une meilleure sécurité dans les logiciels Open Source plutôt que dans les solutions fermées chez les grands responsables informatique est une donnée rationnelle et pragmatique, éloignée des considérations irrationnelles, philosophiques ou culturelles, qui font aussi, souvent, aimer l'Open Source et haïr le code fermé.
Les logiciels en "Open source" doivent répondre à des critères précisés par l'Open Source Initiative (OSI) et les contrats de licence doivent spécifer ces engagements de respect de ces critères.
Une autre désignation est "Free Software" dont les critères sont précisés par la Free Software Foundation (FSF). Beaucoups de différences entre les deux se sont estompées avec le temps. Il reste que les logiciels en Open Source ne sont pas forcément gratuits et que les logiciels gratuits ne sont pas forcément en Open Source.
Le plus grand exemple de famille de produits Open Source, gratuits ou commerciaux, est Linux de Linus Torvalds et tous ses avatars (les "distributions Linux" et les dérivés) bien qu'écrits et publiés sous forme, non pas de "Open source" mais de "Logiciel Libre" (licence GNU dont l'approche est plus "philosophique").
Tous les "projets" et applications comme Apache, FreeBSD, Mozilla, Firefox, Thunderbird, MySQL, OpenOffice... sont des projets Open source.
Open source et pérénité des projets informatique
Informaticien depuis 1968, jamais un grand projet de développement n'a été accepté par mes clients sans que le code source ne leur soit accessible en cas de défaillance de ma part. Ceci se faisait, en ce qui me concerne, par le dépôt dans un coffre, en banque, des listings, de la documentation et de supports magnétiques avec les codes source à jour et remis à jour au moins 1 fois par mois.
Open source et confidentialité des données
Aucune entreprise ne devrait s'en remetre, les yeux fermés, à des applications fermées, d'autant que des bruits de présence de portes dérobées (backdoor, NSA Trapdoor etc. ...) à tous les étages accompagnent ces produits propriétaires. Le problème ne se pose pas avec les applications "Open Source" dans lesquelles tout un chacun peut analyser le code et ce qu'il fait.
Nom que l'on donne aux "codes" écrits par les programmeurs lorsqu'ils écrivent un programme. On parle de "Code Source" (dans le langage qu'il a choisi d'utiliser : Java, C++, Pascal, Fortran, Php, Cobol, Lisp, Algol, Basic...).
Ce nom est masculin : "le code source" et, par abréviation, "le source".
Open
Libre et Ouvert - Public. Le code source des programmes "Open source" est public. Ceux qui souhaitent l'avoir, le regarder, le modifier, y contribuer etc. ... peuvent se le procurer. Il s'agit exactement de l'inverse des programmes "propriétaires" dont le code source est tenu secret.
Open source et sécurité informatique
Le débat fait rage entre les tenant des codes propriétaires (normal, ils en font commerce, comme Microsoft) et les tenant des codes libres et ouverts. Les tenants des codes propriétaires avancent comme argument que les codes sources ouverts permettent aux crapules d'étudier le code et d'y trouver les failles pour lancer des attaques. Les tenants des codes ouverts avances que ceux-ci sont analysés par des milliers, des centaines de milliers de programmeurs acquis à la cause des logiciels en Open Source, libres et gratuits, et que les failles, s'il y en a, sont ainsi très rapidement corrigées.
Il faut corriger ce mythe des relectures des codes sources de l'Open Source par tout le monde : les programmeurs ayant une vision globale d'un grand projet et capables de lire le code dans le détail en matière de sécurité sont extrêmement peu nombreux au monde. Ils sont généralement cantonné à un travail sur une routine particulière.
Il faut aussi tordre le coup au mythe du reverse engineering des codes fermés pour remonter au code source. Un logiciel propriétaire doit faire l'objet d'un reverse engineering pour en reconstruire le code et comprendre ce qu'il fait puis y découvrir les failles ce qui ajoute une étape longue et particulièrement pointue aux attaques contre les logiciels propriétaires. En réalité ils subissent le plus souvent des attaques beaucoup plus rapides, de type force brute, jusqu'à trouver les failles - sans passer par du reverse engineering (et la découverte de failles "par hasard" et le plus grand pourvoyeur d'attaques contre les logiciels fermés).
En terme de réactivité, il faut reconnaître que les tenants de l'Open Source ont raison et que les logiciels Open Source font preuve d'une réactivité sans aucune commune mesure avec les tenants des logiciels propriétaires. Ce qu'il faut donc retenir : les corrections de failles sont faites infiniment plus rapidement dans le monde de l'open source que dans le monde du code fermé.
Le libre s'organise pour la correction des failles
Un an après son lancement, le programme américain d'audit et de correction des failles s'étend à 150 logiciels libres. Une initiative qui a déjà permis de corriger 6 000 bugs et traduit la réactivité de l'Open Source.
Dans le cadre d'un programme de 3 ans baptisé Open Source Hardening Project, le Département de la sécurité nationale américain (DHS) avait attribué un budget de 1,24 millions de dollars à l'université de Stanford, Coverity et Symantec pour contribuer au renforcement de la qualité et de la sécurité des logiciels libres.
Inauguré en janvier 2006, le programme vient d'être étendu à 150 projets Open Source, contre 50 auparavant. Coverity fournit ainsi ses technologies d'automatisation de l'analyse du code source afin d'identifier les vulnérabilités les plus critiques des logiciels libres audités. Depuis 2006, ce sont ainsi 6 000 bugs, 16 par jour en moyenne, qui ont été détectés et corrigés.
700 développeurs, après enregistrement, participent à l'analyse des failles et surtout à leur correction sur des projets Open Source réputés comme Apache, Firefox, Gnome, Linux, ou plus confidentiels (NSS, SoX, Net-SNMP…). Ce sont désormais 35 millions de lignes de codes qui vont être soumises aux contributeurs afin d'accroître la robustesse des applications.
Cette initiative contribue non seulement à la qualité des développements Open Source, mais aussi à celle des logiciels y recourant en tant que composants. Zlib, un programme de compression, est ainsi employé dans plus de 500 logiciels dont MSN Messenger, Office, QuickTime et Apache. FreeRadius, pour l'authentification sécurisée, est quant à lui utilisé par 100 millions de personnes, sur Internet ou sur des réseaux d'entreprise.
L'éligibilité des développeurs, afin notamment de parer à toute divulgation publique et non-contrôlée de vulnérabilités, est soumise à conditions. Il leur faut ainsi être fortement impliqué auprès d'une association à but non lucratif. Le programme mené par Coverity prône en outre la divulgation responsable, c'est-à-dire qu'une information publique n'est faite qu'après correction, et passé un délai jugé suffisant.
Le programme soutenu par le DHS traduit l'importance prise par les logiciels Open Source. Mais pour voir son rôle croître encore, notamment au sein des entreprises et des administrations, le libre doit veiller à la qualité de son code source et à la correction des vulnérabilités. Il bénéficie pour cela d'un code ouvert, de l'appui de communautés et de sa réactivité face à la découverte de nouvelles failles. Des qualités qui font souvent défaut au monde propriétaire.
L'initiative prise par le Département de la sécurité nationale est également à rapprocher de celle du SANS Institute (lire la brève SANS Institute délivre une certification sécurité aux développeurs).
Toutes deux visent à améliorer la qualité des développements. Le DHS par l'analyse du code, le SANS de manière proactive en formant directement les développeurs à des méthodes de programmation sécurisée via une certification et des formations : sa GIAC Secure Software Programmer (GSSP) couvre ainsi les langages C/C++, Java/J2EE, Perl/PHP et .NET/ASP.
Journal du Net
Une étude publiée en septembre 2007 a été conduite auprès de 1.000 responsables informatiques de la région Asie / Pacifique (Australie, Chine, Inde Corée). Il s'agit d'évaluer la pénétration des technologies en open source avec, notamment, les raisons de leur déploiement. L'accès à l'étude complète est payant mais IDC en a publié un abstract. On peut voir, sur ce graphique, que la première raison de l'adoption de l'Open Source par les grands responsables est la meilleure réponse en terme de sécurité (puis viennent des raisons budgétaires, un bon support offert par les vendeurs et de meilleurs outils de gestion et utilitaires). On peut voir, également, que la recommandation par une entreprise amie a une certaine influence et on peut dire que les "conseilleurs" sont satisfaits de leurs solutions Open Source au point de les recommander.
La perception d'une meilleure sécurité dans les logiciels Open Source plutôt que dans les solutions fermées chez les grands responsables informatique est une donnée rationnelle et pragmatique, éloignée des considérations irrationnelles, philosophiques ou culturelles, qui font aussi, souvent, aimer l'Open Source et haïr le code fermé.
Les logiciels en "Open source" doivent répondre à des critères précisés par l'Open Source Initiative (OSI) et les contrats de licence doivent spécifer ces engagements de respect de ces critères.
Une autre désignation est "Free Software" dont les critères sont précisés par la Free Software Foundation (FSF). Beaucoups de différences entre les deux se sont estompées avec le temps. Il reste que les logiciels en Open Source ne sont pas forcément gratuits et que les logiciels gratuits ne sont pas forcément en Open Source.
Le plus grand exemple de famille de produits Open Source, gratuits ou commerciaux, est Linux de Linus Torvalds et tous ses avatars (les "distributions Linux" et les dérivés) bien qu'écrits et publiés sous forme, non pas de "Open source" mais de "Logiciel Libre" (licence GNU dont l'approche est plus "philosophique").
Tous les "projets" et applications comme Apache, FreeBSD, Mozilla, Firefox, Thunderbird, MySQL, OpenOffice... sont des projets Open source.
Open source et pérénité des projets informatique
Informaticien depuis 1968, jamais un grand projet de développement n'a été accepté par mes clients sans que le code source ne leur soit accessible en cas de défaillance de ma part. Ceci se faisait, en ce qui me concerne, par le dépôt dans un coffre, en banque, des listings, de la documentation et de supports magnétiques avec les codes source à jour et remis à jour au moins 1 fois par mois.
Open source et confidentialité des données
Aucune entreprise ne devrait s'en remetre, les yeux fermés, à des applications fermées, d'autant que des bruits de présence de portes dérobées (backdoor, NSA Trapdoor etc. ...) à tous les étages accompagnent ces produits propriétaires. Le problème ne se pose pas avec les applications "Open Source" dans lesquelles tout un chacun peut analyser le code et ce qu'il fait.
| Historique des révisions de ce document : |
|
Historique
|
Rédigé en écoutant :
Music
Music