Open source et entreprise: quels sont les véritables enjeux?

Les composants open source sont de plus en plus adoptés par les entreprises, mais leur réutilisation est souvent faite de manière peu responsable et entraîne des risques méconnus.

En Janvier 1998, Netscape annonçait la diffusion du code source de son navigateur web, sous une licence permettant sa modification et sa redistribution, popularisant ainsi le modèle open source. Un peu plus d'une décennie plus tard, les composants open source sont omniprésents dans le monde professionnel. Mais la réutilisation de composants open source est rarement faite de manière maîtrisée et peut entraîner certains risques pour une entreprise. La réutilisation de composants open source permet de livrer des logiciels plus rapidement, sans diminuer leur qualité, tout en réduisant les coûts, ce qui a engendré la multiplication des composants open source en entreprise. Un sondage récent, effectué par Gartner, révèle ainsi que plus de la moitié des entreprises interrogées utilisent des solutions open source, la flexibilité et la réduction du temps de développement étant citées comme deux raisons principales de cette adoption [1]. Selon Accenture, près de 80% des grandes entreprises utilisent de l'open source [2].

Malgré les nombreux avantages liés à l'utilisation de composants open source, leur intégration est rarement maîtrisée, ce qui peut entraîner des coûts imprévus ou dévaluer des actifs logiciel. Ces risques découlent d'une réutilisation insouciante ou imprudente de l'open source et peuvent survenir tout au long du cycle de vie du logiciel, de l'écriture du code à la distribution du logiciel final. Ils ont pour origine les problèmes de compatibilité de licence, mais aussi d'obsolescence des composants et de vulnérabilité logicielle.
Afin de réutiliser un logiciel, open source ou non, il est impératif de se conformer aux contraintes légales imposées par ses auteurs originaux. Pour un composant open source, elles sont généralement exprimées par un contrat de licence, tel que la GNU GPL. Ces contraintes, malheureusement souvent négligées, peuvent avoir d'importantes répercussions, à l'exemple de Westinghouse.
Le 14 décembre 2009, BusyBox, un projet open source sous licence GPLv2, décide de poursuivre en justice Westinghouse Digital LLC pour violation de licence. En effet, Westinghouse incluait plusieurs modules de BusyBox dans leurs téléviseurs HD, distribués sous une licence incompatible avec la GPL. Le 3 août 2010, le tribunal condamne Westinghouse à verser un dédommagement de 150 000$ pour violation du droit d'auteur. De plus, Westinghouse a dû donner tous les téléviseurs, l'équivalent de plusieurs millions de dollars, à des œuvres caritatives. Si ce problème avait pu être détecté assez tôt dans le développement du produit, il aurait pu être traité et aurait ainsi évité un procès long et coûteux.
Certaines entreprises mettent en place des procédures destinées à guider les acteurs du processus de développement à se conformer aux licences open source ainsi qu'à la politique de licence de l'entreprise, si elle existe. Malheureusement ces procédures interviennent souvent en fin de cycle de développement. Les problèmes, tardivement détectés, ont alors des coûts de correction élevés, pouvant aller jusqu'au développement d'un nouveau composant.

Ainsi tant que les entreprises ne se doteront pas d'une gouvernance open source réfléchie et outillée, impliquant tous les acteurs du processus de développement et responsabilisant ainsi l'usage de l'open source, elles continueront à s'exposer à des risques importants. 

-----------

[1] Accenture Open Source Survey 2010.
http://www.accenture.com/us-en/Pages/insight-open-source-survey-2010.aspx
[2] Gartner Survey Reveals More than Half of Respondents Have Adopted Open-Source Software Solutions as Part of IT Strategy
http://www.gartner.com/it/page.jsp?id=1541414