La faille Heartbleed a permis de mettre une problématique en avant : celle du financement des projets open source, et notamment ceux qui sont essentiels au bon fonctionnement d'Internet tel que nous l'utilisons au quotidien. L'occasion pour des projets comme OpenSSL d'évoquer le fait que, bien qu'ils soient massivement exploités par des sociétés privées, rares sont celles qui participent.
La promesse de l'open source est double. Permettre à chacun d'accéder à des outils utiles à tous grâce à une communauté de développeurs, tout en permettant à n'importe qui d'analyser le code, de le reproduire, de l'améliorer, etc. Si la faille Heartbleed a mis en lumière de nombreuses défaillances, elle a surtout été l'occasion de reposer la question du financement des projets qui se basent sur du code libre. Elle a également montré que ceux qui sont massivement exploités pour des problématiques aussi importantes que la sécurité des transactions comme OpenSSL ne recoivent quasiment aucun soutien, qu'il soit humain ou financier.
L'open source cherche une relation plus équilibrée entre utilisateurs et contributeurs
En effet, sur la liste de discussion du projet, on pouvait récemment lire qu'en général, 2 000 dollars de dons étaient récoltés chaque année. D'autres sources de revenus sont proposées, comme le fait de devenir sponsor officiel, les contrats de support, etc. Mais dans la pratique, cela est assez peu exploité, et même les sociétés qui se servent massivement de l'outil pour sécuriser leurs transactions, et donc assurer leurs revenus, ne trouvent pas logique d'investir quelques centaines ou milliers de dollars par an pour assurer la pérennité du projet, de l'équipe et donc de la sécurité de tous les utilisateurs.
Et comme les bonnes choses arrivent souvent trop tard, c'est une fois la faille découverte que la campagne de dons s'est avérée efficace. En effet, de multiples cas à 1 000 dollars ou plus ont été relevés. Le 11 avril il était déjà questions de 200 dons pour un total de 3 000 dollars, et vendredi, le dernier chiffre avancé était de 23 000 dollars, soit « plus que tous les dons jamais récoltés » expliquait Steve Marquess.
Les bitcoins comme nouvelle source de dons
Suite à plusieurs demandes, la Fondation OpenSSL a aussi décidé d'accepter les dons en bitcoins, via un bouton mis en avant sur sa page dédiée proposé par le service Coinbase. Celui-ci rejoint Paypal qui était précédemment proposé pour les paiements via le service ou par carte bancaire. Espérons néanmoins que, outre les particuliers et les quelques entreprises qui se seront donné la peine de participer cette fois, le projet continuera de recevoir des dons réguliers aussi de la part de ceux qui en tirent profit au quotidien, que ce soit sous la forme d'employés dédiés à son développement et à son analyse, ou sous forme financière.
Un juste retour des choses qu'il serait d'ailleurs bon de généraliser à l'ensemble des services open source qui sont exploités au quotidien, et dont l'absence ou la défaillance pourraient nous poser des problèmes à plus ou moins long terme.
Commentaires (48)
#1
Heartbleed aura finalement servit à quelque chose… " />
#2
On récompense les logiciels pour leurs failles maintenant, ça fait penser à Harlem Désir qui a été promu pour son incompétence.
#3
Un mec passe en revue le code d’OpenSSL et y trouve des choses bien peu râgoutantes : http://opensslrampage.org
Par exemple, ici :
strncpy(d, s, strlen(s)) is a special kind of stupid.
Pourquoi n’avoir pas utilisé strcpy(d, s); ?
#4
#5
#6
#7
#8
#9
#10
Why buy an SSL toolkit as a black-box when you can get a vulnerable one for free?
" />
#11
#12
#13
#14
#15
#16
#17
#18
#19
#20
#21
#22
#23
#24
#25
#26
#27
#28
Etonnant que beaucoup s’appuie (s’appuyait ?) sur openssl mais ne font/faisaient pas vraiment d’effort pour soutenir ce projet. Comme si ‘quelques’ personnes pouvaient gérer cet aspect.
Je dirais (presque) merci à Heartbleed pour cette piqûre de rappel. Le problème ici montre bien que la sécurité c’est du domaine publique et ça a besoin de support (argent, programmeurs, infrastructures, …) et ici ça demande en plus du support TRES qualifié (non ?).
Il est dit ici que (wouaw) il y a plus de dons que depuis X années … je redis un petit wouaw par rapport au nombre de sites qui se reposent sur son utilisation et qui font plus que quelques malheureux dollars/euros. J’ai l’impression que beaucoup de grands comptes et administrations se reposent juste sur la gratuité (supposée) de openssl (et d’autres) :/
#29
#30
#31
#32
#33
#34
a coin ?
#35
#36
#37
#38
#39
#40
#41
#42
L’open-source c’est finalement un peu la prime a celui qui aura le plus de motivation, de temps ou d’argent pour un projet donné. Or, qui cumule allégrement les trois plus que tout autre ? Les géants de l’informatique propriétaire et la NSA.
" />
(don’t feed me)
#43
#44
#45
#46
#47
#48
Salut,
Voici finalement une bonne nouvelle qui ressort de tous ceci:
La fondation Linux vient de créer un fond de participation afin de soutenir les projets Open Sources les plus critiques.
(J’ai trouvé l’info là: http://www.phoronix.com/scan.php?page=news_item&px=MTY3MjE)
Le premier projet à en profiter est… OpenSSL !
http://www.linuxfoundation.org/news-media/announcements/2014/04/amazon-web-services-cisco-dell-facebook-fujitsu-google-ibm-intel
Vous aurez sans doute reconnu certains noms parmi les généreux donateurs…
Étonnant, non?
Sur cette bonne nouvelle, je vous souhaite un bon WE et
A+
Debcool