Information et éducation par et pour la communauté SAP
Gestion informatique, MAG 17-04

Bien plus d'Open Source qu'on ne le pense

Les logiciels open source jouent un rôle de plus en plus important dans l'écosystème SAP. En témoigne l'utilisation d'un grand nombre de composants open source au sein même de SAP, comme Android, Git, Java, Linux, Maven, MaxDB, OpenStack, Spring et des centaines d'autres composants et projets.
Ralf Meyer, Synomic
22 mars 2017
Contenu :
Bien plus d'Open Source qu'on ne le pense
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Lors de l'atelier européen sur les écosystèmes logiciels (EWSECO), les chercheurs et les praticiens discutent également du développement et de l'utilisation de logiciels open source dans les produits commerciaux et dans l'écosystème SAP.

Le SAP Community Network (SCN) affiche plus de 41 000 occurrences et le site web dédié "Open Source & SAP" (https://sap.github.io) répertorie des projets intéressants dans ce champ de tensions.

Mais SAP n'est pas la seule entreprise à utiliser de plus en plus l'open source : de nombreux partenaires et clients SAP s'en servent également pour réaliser leurs propres solutions de manière plus rapide, plus sûre et plus économique.

Cette tendance crée des avantages importants pour SAP et l'ensemble de l'écosystème SAP, par exemple en accélérant les cycles de développement, en augmentant la productivité des développeurs et la qualité du développement de solutions commerciales.

D'autres avantages sont une plus grande ouverture/interopérabilité avec d'autres systèmes ainsi que des économies de coûts significatives, entre autres grâce à l'utilisation d'environnements d'exploitation tels que Linux et OpenStack.

Toutefois, l'utilisation accrue de l'open source dans l'environnement d'entreprise entraîne inévitablement de tout nouveaux défis, tels qu'un manque ou une absence de transparence dans l'utilisation, des failles de sécurité potentielles et des risques juridiques ou financiers liés à l'utilisation et à l'octroi de licences.

Des chercheurs et des praticiens rapportent par exemple dans l'EWSECO que les entreprises et les organisations utilisent beaucoup plus l'open source qu'elles ne le pensent ou le savent elles-mêmes.

Ainsi, dans presque tous les audits de logiciels d'entreprise (99 %), des composants open source ont été découverts, dans 75 % des cas des composants jusqu'alors inconnus de la direction et dans plus de 50 % des cas des composants avec des licences GPL critiques.

En règle générale, les contrôles révèlent la présence de plus d'une centaine de composants open source différents dans les applications, parfois plusieurs milliers, voire plus de dix mille.

De manière générale, on peut constater qu'aujourd'hui déjà, environ un tiers du code des applications n'est plus constitué de développements propres, mais de composants open source. (L'étude BlackDuck 2016 fait même état de 35%).

La face cachée de l'open source

Même si l'utilisation de l'open source ne cesse de croître et de gagner en importance, la grande majorité des entreprises n'ont pas (encore) de vue d'ensemble des composants open source qu'elles utilisent ou qui sont utilisés par elles.

Même parmi les grandes organisations informatiques, moins de 50 % ont mis en place une gouvernance open source efficace, selon Gartner, et celles qui ont une "vue d'ensemble" ne connaissent que 50 % de tous les composants qu'elles utilisent.

Ainsi, de nombreux composants open source ne sont tout simplement pas connus de la direction, alors qu'ils peuvent contenir des types de licences inconnus/inconnus, voire viraux, et/ou présenter des risques potentiels pour la sécurité ou les opérations.

Il est bien sûr également problématique que les audits de logiciels et les enquêtes professionnelles sur l'utilisation de l'open source ne soient généralement réalisés qu'à l'occasion de cycles d'investissement à venir, de la M&A Due Diligence, ou juste avant les accords OEM/revendeurs, par exemple avec SAP.

Les risques opérationnels, juridiques et de sécurité sont alors souvent mis en évidence. Ils peuvent être critiques pour les projets envisagés (par exemple la vente d'une entreprise) et ne doivent généralement être "réparés" qu'à grands frais et en peu de temps.

Au niveau opérationnel, il est par exemple important de savoir quels composants sont utilisés et dans quelles versions, ou quel est leur âge. Pour une évaluation juridique, il est important de disposer d'informations sur les licences utilisées, mais aussi de savoir si l'utilisation des composants dans son propre code est adaptée (mot-clé : cloud).

Les informations sur les vulnérabilités des composants, comme celles de la National Vulnerability Database (NVD), qui répertorie actuellement plus de 80 000 vulnérabilités open source, aident à l'évaluation de la sécurité.

Ce qui est critique, c'est que les vulnérabilités open source découvertes lors d'audits sont connues en moyenne depuis cinq ans (et donc aussi par des attaquants potentiels) et que 90% des vulnérabilités découvertes sont à classer comme moyennement ou même hautement risquées.

Il est donc nécessaire de mettre en place une surveillance proactive et continue de l'open source, qui permette non seulement de minimiser les risques et d'éviter les dommages, mais aussi de réduire ou d'éviter les efforts et les coûts liés aux audits et aux "travaux de réparation" ultérieurs.

Plus de 10.000 clients dans le monde entier et 30 ans d'expérience dans l'écosystème SAP font de Seeburger un leader du marché des solutions d'intégration B2B, dont certaines sont également proposées comme solutions SAP OEM.

Comme pour presque toutes les solutions logicielles d'entreprise à succès, Seeburger utilise depuis longtemps et dans une large mesure des composants open source et les livre en partie aux clients avec ou comme partie de son propre logiciel ou les met à disposition dans le cloud sous forme de nouvelles offres Software-as-a-Service (SaaS).

Afin de sécuriser l'utilisation de composants open source chez Seeburger, mais aussi pour ses clients et partenaires (comme par exemple aussi SAP), Seeburger a mis en place dès le début des processus de conformité appropriés.

Grâce à l'utilisation d'un système de surveillance directement intégré dans le processus de développement logiciel agile, le processus manuel pour les composants open source, mais aussi pour les développements internes (principalement en Java), a désormais été presque entièrement automatisé et porté au niveau supérieur.

Chez Seeburger, les listes de composants et de licences sont créées en appuyant sur un bouton, les directives de la direction sont appliquées automatiquement et les coûts sont réduits (un nombre moyen à trois chiffres d'heures de développement de logiciels par an).

La surveillance active des versions garantit que les composants open source utilisés (qui, contrairement aux applications mobiles, ne disposent généralement pas eux-mêmes d'un système de mise à jour automatique) sont toujours à jour.

Les développeurs ne doivent plus vérifier eux-mêmes si les composants utilisés sont obsolètes et rechercher les nouvelles versions dans différentes sources, mais sont activement informés. Cela permet d'éviter les problèmes de manière proactive ou de les résoudre rapidement.

Un contrôle automatique des licences veille à ce que les développeurs de logiciels de Seeburger n'utilisent que les licences open source "souhaitées", qui ont été préalablement contrôlées et approuvées par la direction.

Cela permet d'éviter les risques juridiques lors de l'utilisation des solutions Software-as-a-Service livrées, mais aussi des nouvelles solutions, et de garantir les exigences de conformité importantes chez Seeburger, mais aussi dans l'entreprise qui utilise les logiciels Seeburger.

Si une licence qui ne figure pas dans la "liste blanche" de Seeburg et qui n'est donc pas autorisée est découverte, le processus de construction sur le serveur d'intégration continue est interrompu, ce qui permet d'éviter des efforts et des risques plus importants par la suite.

Les alertes de sécurité sur les composants open source utilisés aident à identifier plus rapidement les failles de sécurité potentielles et à les éliminer le plus vite possible. Pour ce faire, on utilise les connaissances sur les composants open source utilisés par Seeburger et leur version, ce qui permet d'émettre des alertes de sécurité actives et précises et d'éviter les actions improductives suite à de fréquentes fausses alertes.

Seeburger utilise pour cela la solution VersionEye, proposée par l'entreprise du même nom dans la pépinière d'entreprises Mafinex de Mannheim.

La base de données VersionEye contient des méta-informations telles que les versions, les licences et les avis de sécurité de plus de 1,2 million de projets open source. La version cloud sur versioneye.com compte déjà 40.000 utilisateurs inscrits et enregistre 400.000 visiteurs chaque mois.

Le logiciel lui-même est open source et peut être utilisé gratuitement. Les entreprises peuvent bénéficier de services d'entreprise supplémentaires payants, tels que le conseil, l'assistance et l'accès à la base de données via l'API publique VersionEye.

avatar
Ralf Meyer, Synomic

Ralf Meyer est directeur général de Synomic et cofondateur d'IA4SP.


Tous les articles de l'auteur

Écrire un commentaire

Procédure de l'UE sur les politiques de maintenance SAP On-Premise

Les utilisateurs sont différents

450 milliards par des agents IA et humains

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.