En début de semaine, un développeur, Marak Squirres a décidé de saboter deux de ses librairies : Colors et Fakers qui comptent plusieurs millions de téléchargements. Il a intégré du code pour planter les applications et faire apparaître un drapeau américain. Pour expliquer ce geste, Marak Squirres pointe du doigt les grandes entreprises notamment IT qui utilisent les projets open source sans contribuer en retour au développement et au support.
C’est la même revendication qui a poussé Christofer Dutz, créateur d'Apache PLC4X, à menacer de cesser la maintenance du projet. Dans un message sur GitHub, il a indiqué « l'industrie semble aimer utiliser PLC4X et les logiciels libres en général, mais ne semble pas vouloir soutenir les personnes qui y travaillent ». Il a bien essayé de lancer une opération de crowdfunding mais sans succès. Ces deux exemples reposent le problème de la maintenance des projets open source et, in fine, de la sécurité de ces programmes qui sont de plus en plus utilisés par les entreprises.
La Maison Blanche demande des efforts sur la sécurité de l’open source
La Maison Blanche s’est saisie du problème, après l’affaire de la faille découverte dans Log4j d’Apache. Elle a réuni plusieurs grands acteurs, Google, Facebook, Microsoft, Amazon, Oracle et Apple ou la Fondation Apache pour discuter de la nécessité d'améliorer la sécurité dans la communauté des logiciels libres. Dans un blog, Kent Walker, directeur juridique de Google a donné des pistes de réflexions, comme apporter un meilleur soutien à la communauté open source ou créer un référentiel de tests et de sécurité spécifique, ou identifier les projets critiques.
Certaines de ces propositions ne sont pas nouvelles et existent déjà. Lors de l’affaire Heartbleed impliquant OpenSSL, les grands acteurs IT avaient investi plusieurs millions de dollars sous la bannière de la Fondation Linux au sein de la Core Initiative Infrastructure. Parmi les autres pistes envisagées pour soutenir les développeurs, il y a les changements de licence. Certaines sociétés l’on fait comme Elastic ou MongoDB pour forcer les sociétés comme Amazon qui utilisent leur service à participer en retour au projet. Double problème, certaines sociétés peuvent forker le projet comme le montre le cas Amazon/Elastic, mais aussi ce type de licence n’est pas adapté pour des programmes comprenant très peu de mainteneurs. Pour les aider, certains plaident pour un revenu minimum pour les mainteneurs d’applications critiques. Là encore, la qualification et le choix d’attribution restent problématiques. Difficile donc de trouver une ou des solutions satisfaisantes.