Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

OpenSSL cumule 23 000 $ de dons en dix jours et accepte les bitcoins

Et après ?

La faille Heartbleed a permis de mettre une problématique en avant : celle du financement des projets open source, et notamment ceux qui sont essentiels au bon fonctionnement d'Internet tel que nous l'utilisons au quotidien. L'occasion pour des projets comme OpenSSL d'évoquer le fait que, bien qu'ils soient massivement exploités par des sociétés privées, rares sont celles qui participent.

OpenSSL

 

La promesse de l'open source est double. Permettre à chacun d'accéder à des outils utiles à tous grâce à une communauté de développeurs, tout en permettant à n'importe qui d'analyser le code, de le reproduire, de l'améliorer, etc. Si la faille Heartbleed a mis en lumière de nombreuses défaillances, elle a surtout été l'occasion de reposer la question du financement des projets qui se basent sur du code libre. Elle a également montré que ceux qui sont massivement exploités pour des problématiques aussi importantes que la sécurité des transactions comme OpenSSL ne recoivent quasiment aucun soutien, qu'il soit humain ou financier.

L'open source cherche une relation plus équilibrée entre utilisateurs et contributeurs

En effet, sur la liste de discussion du projet, on pouvait récemment lire qu'en général, 2 000 dollars de dons étaient récoltés chaque année. D'autres sources de revenus sont proposées, comme le fait de devenir sponsor officiel, les contrats de support, etc. Mais dans la pratique, cela est assez peu exploité, et même les sociétés qui se servent massivement de l'outil pour sécuriser leurs transactions, et donc assurer leurs revenus, ne trouvent pas logique d'investir quelques centaines ou milliers de dollars par an pour assurer la pérennité du projet, de l'équipe et donc de la sécurité de tous les utilisateurs.

 

Et comme les bonnes choses arrivent souvent trop tard, c'est une fois la faille découverte que la campagne de dons s'est avérée efficace. En effet, de multiples cas à 1 000 dollars ou plus ont été relevés. Le 11 avril il était déjà questions de 200 dons pour un total de 3 000 dollars, et vendredi, le dernier chiffre avancé était de 23 000 dollars, soit « plus que tous les dons jamais récoltés » expliquait Steve Marquess.

Les bitcoins comme nouvelle source de dons

Suite à plusieurs demandes, la Fondation OpenSSL a aussi décidé d'accepter les dons en bitcoins, via un bouton mis en avant sur sa page dédiée proposé par le service Coinbase. Celui-ci rejoint Paypal qui était précédemment proposé pour les paiements via le service ou par carte bancaire. Espérons néanmoins que, outre les particuliers et les quelques entreprises qui se seront donné la peine de participer cette fois, le projet continuera de recevoir des dons réguliers aussi de la part de ceux qui en tirent profit au quotidien, que ce soit sous la forme d'employés dédiés à son développement et à son analyse, ou sous forme financière.

 

Un juste retour des choses qu'il serait d'ailleurs bon de généraliser à l'ensemble des services open source qui sont exploités au quotidien, et dont l'absence ou la défaillance pourraient nous poser des problèmes à plus ou moins long terme.

48 commentaires
Avatar de zempa INpactien
Avatar de zempazempa- 22/04/14 à 08:55:48

Signaler ce commentaire aux modérateurs :

Heartbleed aura finalement servit à quelque chose...

Avatar de null INpactien
Avatar de null- 22/04/14 à 09:04:06

Signaler ce commentaire aux modérateurs :

On récompense les logiciels pour leurs failles maintenant, ça fait penser à Harlem Désir qui a été promu pour son incompétence.

Avatar de 240-185 INpactien
Avatar de 240-185240-185- 22/04/14 à 09:06:41

Signaler ce commentaire aux modérateurs :

Un mec passe en revue le code d'OpenSSL et y trouve des choses bien peu râgoutantes : http://opensslrampage.org

Par exemple, ici :

strncpy(d, s, strlen(s)) is a special kind of stupid.

Pourquoi n'avoir pas utilisé strcpy(d, s); ?

Avatar de RaYz Abonné
Avatar de RaYzRaYz- 22/04/14 à 09:06:44

Signaler ce commentaire aux modérateurs :

Yzokras a écrit :

On récompense les logiciels pour leurs failles maintenant, ça fait penser à Harlem Désir qui a été promu pour son incompétence.

Alors j'en ai vu des pêches à la dynamite mais celle là elle sort du lot.

Avatar de Fuinril INpactien
Avatar de FuinrilFuinril- 22/04/14 à 09:06:44

Signaler ce commentaire aux modérateurs :

Yzokras a écrit :

On récompense les logiciels pour leurs failles maintenant, ça fait penser à Harlem Désir qui a été promu pour son incompétence.

Vilain poilu !

Avatar de Khalev Abonné
Avatar de KhalevKhalev- 22/04/14 à 09:07:40

Signaler ce commentaire aux modérateurs :

Yzokras a écrit :

On récompense les logiciels pour leurs failles maintenant, ça fait penser à Harlem Désir qui a été promu pour son incompétence.

T'as oublié la balise

Ou alors t'as juste rien compris...

Avatar de zempa INpactien
Avatar de zempazempa- 22/04/14 à 09:12:58

Signaler ce commentaire aux modérateurs :

Khalev a écrit :

T'as oublié la balise

Ou alors t'as juste rien compris...

hum... les deux ?

Avatar de Khalev Abonné
Avatar de KhalevKhalev- 22/04/14 à 09:15:35

Signaler ce commentaire aux modérateurs :

zempa a écrit :

hum... les deux ?

C'est un ou pas un ou exclusif

Avatar de tmtisfree Abonné
Avatar de tmtisfreetmtisfree- 22/04/14 à 09:18:17

Signaler ce commentaire aux modérateurs :

Yzokras a écrit :

On récompense les logiciels pour leurs failles maintenant, ça fait penser à Harlem Désir qui a été promu pour son incompétence.

L'avantage d'un marché ouvert est qu'il corrige spontanément ses imperfections sans idéologie.

Avatar de CUlater INpactien
Avatar de CUlaterCUlater- 22/04/14 à 09:19:17

Signaler ce commentaire aux modérateurs :

Why buy an SSL toolkit as a black-box when you can get a vulnerable one for free?

Il n'est plus possible de commenter cette actualité.
Page 1 / 5