Pendant des décennies, Red Hat a dominé le marché Linux d'entreprise. Cependant, aussi populaire que puisse être sa distribution Linux éponyme, CentOS 7 est de loin plus utilisé - 20 fois plus populaire, selon l’estimation de Matt Asay, chroniqueur pour Infoworld. Mais, alors que CentOS faisait office de clone de Red Hat Enterprise Linux (RHEL), l’éditeur a changé la donne fin 2020 en introduisant CentOS Stream. On aurait pu penser que tout aller bien comme ça. Mais, ce n’est pas le cas.

En effet, Red Hat a annoncé la fin de vie de CentOS 7 pour juin 2024, c’est-à-dire qu’au-delà de cette date, la distribution ne bénéficierait plus de correctifs de sécurité et de mises à jour logicielles. Plus récemment, l’éditeur a fait savoir que CentOS Stream serait désormais le seul référentiel pour les versions publiques du code source liées à RHEL. Pour les entreprises qui planifient leur informatique à long terme, autant dire quasiment toutes les entreprises de taille raisonnable, le moment est venu de réfléchir à l’après CentOS 7. La politique de Red Hat a vu la naissance de fork comme Alma Linux ou Rocky Linux, qui misaient jusqu’alors sur la disponibilité du code source « en aval » pour proposer une distribution consolidée de RHEL. En les limitant à la version « amont » de sa distribution, Red Hat s’est attiré la colère de certains membres de la communauté.

Les responsables de Red Hat se défendent

Des critiques qui ont fait réagir, Mike McGrath, vice-président Core Platform de Red Hat à l’origine de l’annonce des restrictions. Dans un second post, il a tenu à remettre les pendules à l’heure. « On nous a traités de diable ; on m'a traité de cadre d'IBM installé pour transformer Red Hat en code propriétaire ». avant d’ajouter, « il ne s’agit que des choses gentilles ». Dans son message, il tranche sans ambages la polémique, « j'ai le sentiment qu'une grande partie de la colère suscitée par notre récente décision concernant les sources en aval provient de ceux qui ne veulent pas payer pour le temps, les efforts et les ressources consacrés à RHEL ou de ceux qui veulent le reconditionner à leur propre profit ».

Dans un autre message, Magnus Glantz, architecte principal de solutions chez Red Hat dit la même chose en tournant en dérision Rocky Linux et AlmaLinux, soutenant que ces clones « font de l’argent en profitant du dur labeur des autres ». Pour lui, les deux forks s'approprient leurs efforts sans rien apporter en retour et, pire encore, ils détournent des revenus que Red Hat pourrait autrement investir dans l'amélioration de ses produits, y compris CentOS.

Tout prendre, rien donner

Cette prise de position reflète l’éternel débat dans le monde open source sur la gratuité et sur le partage des efforts. Sur le premier point, Matt Asay constate que tout le monde privilégie la gratuité. Et de citer les propos d’un utilisateur mécontent, « comme beaucoup, j'ai utilisé CentOS parce que c'était un moyen de bénéficier des avantages de Red Hat sans avoir à payer pour cela ». Le problème est que dans le monde réel, si trop de gens profitent gratuitement d’un produit, celui-ci disparaîtra. Récemment, un journal, Admin Network & Security a réalisé un article sur Rocky Linux avec comme accroche, « vous saurez pourquoi cette distribution Linux, qui a moins de deux ans d’existence a déjà conquis un large public dans le monde entier ». La réponse est claire , il prétend offrir RHEL aux entreprises sans payer pour cela.

La question de la contribution est également soulevé par Mike McGrath dans sa réponse aux critiques. « Le fait de reconstruire implicitement le code, sans y ajouter de valeur ou le modifier de quelque manière que ce soit, représente une menace réelle pour les entreprises de logiciels libres partout dans le monde ». Et de compléter, « cette menace risque de faire de l'open source une activité réservée aux amateurs et aux pirates ».

Un vrai questionnement pour les entreprises

Cette petite guerre fratricide ne doit pas faire oublier le besoin réel des entreprises, poursuit Matt Asay dans son analyse. Les sociétés veulent que leur infrastructure solide et prévisible. En d'autres termes, ennuyeuse. « L'ennui commence avec le système d'exploitation, et Linux, et plus précisément RHEL, est le système d'exploitation de prédilection de nombreuses entreprises. Il n'est donc pas étonnant que, même si les développeurs peuvent s'essayer à d'autres OS, ils veulent qu'ils soient équivalents à RHEL. En l’occurrence, un RHEL gratuit, s'il est disponible », glisse le chroniqueur.

Les entreprises qui envisagent de passer de CentOS à une forme quelconque de RHEL devraient se poser les questions suivantes, en commençant par la plus élémentaire : AlmaLinux et Rocky Linux sont-ils des alternatives viables ?

- les deux distributions peuvent-elles aussi garantir aujourd'hui la compatibilité ? Quelle certitude a-t-on que ces distributions pourront tenir cette promesse ?

- Les communautés bénévoles d'AlmaLinux et de Rocky Linux continueront-elles à faire le travail nécessaire à l’innovation et à la mise à jour ? Vont-elles se battre comme l'a fait CentOS.org à ses débuts, ce qui avait conduit Red Hat à embaucher l'équipe de CentOS ? (On ne peut pas accepter de travailler gratuitement at vitam eternam).

- Les organisations AlmaLinux et Rocky Linux disposent-elles de l'expertise technique nécessaire pour corriger, mettre à jour et maintenir correctement les systèmes métiers et critiques ? Le fait de savoir cloner le travail de quelqu'un d'autre ne vous qualifie pas pour assumer le travail plus exigeant de support d'un système d'exploitation critique, en particulier quand on n’a pas la possibilité d'influencer la distribution en amont pour répondre aux exigences des clients.

- Red Hat continuera-t-il à publier le code source d'une manière qui permette à ces organisations de continuer à exister sans avoir à créer du code ? Les antécédents de Red Hat en matière de contribution au code sont durables et louables. Cependant, CentOS Stream a montré que le pilier de l'open source pourrait chercher d’autres modalités d'empaquetage de son code.

- Cela vaut-il la peine de prendre des risques et de déployer autant efforts si une nouvelle mise à niveau s’avère incontournable dans quelques années ?

De fausses économies, au mauvais endroit

Toutes ces considérations font que la décision d'essayer d'économiser quelques euros semble stupide. Il s'agit du système d'exploitation, la base de toutes les applications, bases de données, etc. qu'une entreprise utilise. Malgré son rôle central dans la réussite de l’IT, l’OS est relativement bon marché par rapport à ce que les entreprises paient pour d'autres logiciels. Chercher à réduire ses coûts sur ce point semble être une fausse bonne idée, car l’adoption d’un clone ne permet d’économiser que peu d'argent. Ceux qui ont un doute à ce sujet peuvent demander à Salesforce, qui a récemment expliqué pourquoi (et comment) elle migrait de CentOS 7 à RHEL 9. Comme l'a fait remarquer Anish Bhatt, architecte chez Salesforce, « de l'intégration de processeurs de pointe à la suppression des bogues en passant par le renforcement de la sécurité, la mise à niveau du système d'exploitation de Salesforce vers RHEL 9 offre une plateforme durable de niveau professionnel et débloque de nombreux avantages concrets pour Salesforce Engineering et nos clients », a déclaré le responsable.

Celui-ci pointe en particulier la prise en charge du « matériel le plus récent afin d'exploiter les dernières innovations logicielles pour nos clients », ce que CentOS 7 (et probablement ses clones) n'a pas pu faire. De plus, « grâce à un niveau de support client dédié, les ingénieurs de Red Hat peuvent aider Salesforce Engineering à identifier les problèmes en quelques minutes, et à appliquer des correctifs rapidement », et donc améliorer sa posture de sécurité. C’est une bonne manière de rappeler aux entreprises comment elles devraient évaluer le risque par rapport à ce que représente l’usage d'un clone de RHEL. Un logiciel n'est jamais simplement une question de bits et d'octets. Il s'agit aussi des processus et des personnes qui se trouvent derrière. Pour les entreprises qui prennent l'infrastructure au sérieux, il est intéressant de soutenir l'entreprise qui est la mieux placée pour le faire. Dans le cas présent, c’est Red Hat qui est la mieux placée.