La plupart des gens ne s’en rendent pas compte, mais de nombreux appareils et applications que vous utilisez quotidiennement sont construits sur des logiciels open source, maintenus par un ou deux développeurs qui ne sont pas payés pour leur temps, qui corrigent les bogues et améliorent leur code. pour redonner à la communauté ou comme un projet passionné.
Prenez cURL, par exemple, une bibliothèque qui permet aux logiciels d’accéder facilement aux données d’un autre système, comme dans une API. La bibliothèque est utilisée dans pratiquement tous les appareils connectés modernes, de l’iPhone aux voitures, en passant par les réfrigérateurs intelligents et les téléviseurs – et pourtant, il a essentiellement été maintenu par un seul développeur, Daniel Steinberg, gratuitement pendant près de trois décennies.
Bien que de nombreux projets open source soient inclus dans des logiciels et des appareils à but lucratif, généralement sans compensation en dehors d’une simple reconnaissance, le système fonctionne généralement de manière fiable. Certains développeurs open source sont en mesure de soutenir avec succès leur travail grâce à des programmes tels que Commanditaires GitHub et Achetez-moi un café, des contrats de maintenance avec des entreprises ou un emploi dans une entreprise qui les rémunère pour entretenir leur bibliothèque, mais c’est loin d’être la norme.
L’iniquité de ce système est souvent révélée lorsqu’il y a une faille de sécurité généralisée, comme les vulnérabilités Log4shell qui a émergé dans la bibliothèque Log4j Java en décembre 2021, déclenchant une multitude de bulletins de vulnérabilité de sécurité critiques qui ont affecté certaines des plus grandes entreprises du monde.
Les développeurs de la bibliothèque concernée étaient obligé de travailler 24 heures sur 24 pour atténuer les problèmes, sans compensation ni grande reconnaissance que leur travail avait été utilisé gratuitement en premier lieu. CURL le développeur a connu un comportement similaire, les entreprises dépendant de ses projets exigeant qu’il s’envole pour les aider lorsqu’elles rencontraient des problèmes avec leur code, bien qu’elles ne le paient pas pour ses services.
En conséquence, il ne devrait pas être surprenant que certains développeurs open source commencent à réaliser qu’ils détiennent un pouvoir démesuré, malgré le manque de rémunération qu’ils reçoivent pour leur travail, car leurs projets sont utilisés par certaines des entreprises les plus importantes et les plus rentables. dans le monde.
Début janvier, par exemple, Marak Squires, le développeur de deux packages npm populaires, « colors » et « faker », intentionnellement introduit des changements à leur code qui brisait leur fonctionnalité pour quiconque les utilisait, sortie « LIBERTY LIBERTY LIBERTY » suivi d’un charabia et d’une boucle infinie lorsqu’il est utilisé.
Bien que Squires n’ait pas commenté la raison des changements, il avait dit précédemment sur GitHub que « je ne vais plus soutenir les Fortune 500 (et d’autres petites entreprises) avec mon travail gratuit ».
Les changements de Squires ont brisé d’autres projets populaires, y compris Kit de développement cloud d’Amazon, car ses bibliothèques étaient installées près de 20 millions de fois par semaine sur npm, des milliers de projets en dépendant directement. En quelques heures, npm avait annulé la version malveillante et GitHub a suspendu le compte du développeur en réponse.
Alors qu’il fallait s’attendre à la réponse de npm après des incidents précédents au cours desquels du code malveillant a été ajouté aux bibliothèques et a finalement été annulé pour limiter les dommages, celui de GitHub était nouveau : la plate-forme d’hébergement de code a supprimé l’intégralité du compte de Squires, même s’il était le propriétaire du code et avait le droit de le modifier à sa guise.
Ce n’est pas non plus la première fois qu’un développeur extrait son code en signe de protestation. Le développeur de « left-pad » a extrait son code de npm en 2016, brisant des dizaines de milliers de sites Web qui en dépendaient à la suite d’une bagarre avec le messager Kik au sujet de la dénomination d’un autre projet open source qu’il possédait.
Ce qui est étonnant, c’est que malgré les quelques bibliothèques de haut niveau qui protestent contre le fonctionnement de l’industrie, ces types d’incidents ne sont pas si courants : les développeurs open source continuent de travailler gratuitement, entretenant leurs projets du mieux qu’ils peuvent, même si plusieurs millions de personnes des produits à un dollar sont créés grâce à leur travail.
Même la Maison Blanche a reconnu l’importance de l’open source pour l’industrie technologique après une réunion avec l’industrie à la suite des incidents Log4J, disant en janvier 2022 que « Les logiciels open source apportent une valeur unique et présentent des défis de sécurité uniques, en raison de leur étendue d’utilisation et du nombre de bénévoles responsables de sa maintenance continue de la sécurité. »
Et pourtant, malgré cette déclaration, les logiciels open source massivement populaires sont terriblement sous-financés – du moins jusqu’à ce qu’ils soient sous les projecteurs. Avant le Vulnérabilité Heartbleed mettre l’Internet au sens large en danger, le projet open source concerné, OpenSSL, reçu seulement 2 000 $ par année en dons qui est passé à 9 000 $ après que les problèmes ont été révélés.
L’équipe derrière OpenSSL, qui est utilisé par pratiquement tous les périphériques réseau modernes, écrivait à l’époque que «[t]ici devrait être au moins une demi-douzaine de membres à temps plein de l’équipe OpenSSL, pas un seul, capable de se concentrer sur les soins et l’alimentation d’OpenSSL. Au lieu de cela, l’équipe du projet continue de trouver des contrats de travail pour couvrir le coût de maintenance du projet.
Les développeurs pourraient changer leur licence open source, transformer leur travail en produits ou se bousculer pour plus de sponsors, mais il n’y a pas de solution unique pour chaque projet. Jusqu’à ce que l’industrie trouve un meilleur moyen de financer tout ce travail gratuit – dont personne ne semble parler – nous devrions nous attendre à ce que davantage de développeurs open source commettent des actes de désobéissance, brisant intentionnellement leur travail pour faire la lumière sur ce qu’ils contribuent.
Ce n’est tout simplement pas durable à long terme – mais on ne sait pas comment nous allons sortir de ce gâchis, car l’utilisation de ballons open source dans chaque logiciel et appareil connecté produit aujourd’hui, mais continue à dépendent de quelques développeurs open source qui ne passent pas une journée terrible et décident de tout casser.
Si une bibliothèque comme cURL, qui est utilisée par des millions d’appareils, est incluse dans tout, de votre machine à laver à votre voiture, mais que son créateur en a assez de la prendre en charge et décide d’envoyer un message au monde, alors quoi ? Nous avons eu de la chance dans le passé que les dégâts puissent être annulés, mais nous pourrions ne pas être aussi chanceux à l’avenir.