Meilleures pratiques pour la réussite commerciale avec les logiciels open source

Pour les fournisseurs de logiciels et les utilisateurs, il est important d'utiliser non seulement les bons composants logiciels, mais aussi les stratégies, les modèles commerciaux, les processus et les outils qui leur correspondent.

Le point crucial pour les utilisateurs commerciaux est de savoir s'ils sont prêts et en mesure d'évaluer correctement les conditions de licence des composants open source utilisés, afin que les conditions de licence ne soient pas en contradiction avec leur propre modèle commercial et que leur respect puisse également être assuré.

Le développement et la distribution des OSS sont désormais marqués par une multitude de modèles commerciaux et de licences. Ainsi, outre les solutions communautaires classiques comme par exemple la fondation Apache, on trouve également des distributeurs et des prestataires de services comme par exemple pour Linux.

La bonne - et encore plus la mauvaise - utilisation des OSS peut avoir d'énormes conséquences sur le succès commercial des entreprises, car cela est examiné en détail au plus tard lors de la vente de l'entreprise (M&A), lors d'investissements en capital-risque ou en private equity, mais aussi lors de la revente de solutions logicielles par SAP (Resell/OEM/SolEx).

Les erreurs commises lors de l'utilisation d'OSS entraînent souvent des frais de réparation élevés ou l'abandon de projets prometteurs et d'opportunités commerciales. Mais les propres clients sont également en danger, car on ne peut distribuer des OSS aux clients que si l'on respecte les conditions de licence correspondantes.

Une utilisation d'OSS non conforme aux licences chez les clients peut avoir des conséquences coûteuses telles que des actions en cessation, le paiement de dommages et intérêts, l'octroi de licences supplémentaires ou la fermeture d'installations.

Pour cette raison également, chaque composant OSS devrait être identifié et vérifié avant d'être utilisé commercialement. Il est important de mettre en œuvre des politiques, des processus et des outils appropriés en tant que gouvernance efficace de l'open source, qui devrait notamment couvrir les points suivants :

d'une part, la sélection du code open source le plus approprié et le plus mature, qui réponde aux exigences de sa propre entreprise, et d'autre part, une détection et une identification aussi automatiques que possible des composants logiciels open source et de leurs licences, avec des fonctions d'audit et de conformité.

En outre, la gouvernance de l'open source devrait également inclure la gestion du code OSS, y compris l'inventaire, la documentation et le suivi.

Pour la plupart des applications mobiles, mais aussi pour de nombreuses applications Windows & Mac, les utilisateurs sont automatiquement informés de la disponibilité de nouvelles versions, qui ne se contentent généralement pas d'étendre les fonctionnalités, mais corrigent également des erreurs connues et comblent des lacunes de sécurité.

Or, ce n'est pas le cas de la plupart des composants open source, d'autant plus qu'ils ne sont "que" des composants "intégrés" dans des applications. Malheureusement, la presse spécialisée ne parle des risques de sécurité aigus que lorsque des centaines de milliers de systèmes ont déjà été touchés et/ou que des dommages importants ont été causés.

Les développeurs de logiciels doivent généralement s'informer eux-mêmes, péniblement et en prenant beaucoup de temps, sur les versions actuelles et nouvelles, et s'activer. Cela devient encore plus difficile lorsque des composants open source sont eux-mêmes intégrés dans d'autres composants, ce qui est souvent le cas.

C'est pourquoi, contrairement aux cas rapportés par la presse comme WannaCry et Petya, la plupart des menaces critiques ne sont même pas sur le radar des développeurs et des responsables informatiques.

C'est là qu'interviennent les solutions de surveillance OSS pour les développeurs de logiciels comme Snyk, qui ne se contentent pas de générer automatiquement un inventaire complet, mais avertissent de manière proactive des failles de sécurité dans les composants utilisés et aident à simplifier leur remplacement.

Cela est possible grâce à une grande base de données sur les composants OSS et les risques de sécurité, ainsi qu'à une intégration étroite dans les nouvelles technologies logicielles.

L'utilisation de nouvelles technologies telles que les conteneurs peut justement engendrer de nouveaux risques de sécurité qui ne peuvent être minimisés que par une surveillance efficace.