Bien que les logiciels libres existent depuis plusieurs décennies, ils n’ont attiré l’attention des grandes entreprises que ces dernières années. Les logiciels à code source ouvert sont essentiellement des logiciels distribués qui permettent aux développeurs d’accéder au code source réel du logiciel. Il existe cependant une fausse idée selon laquelle tous les logiciels à source ouverte sont gratuits, ce qui n’est pas toujours le cas. En ce qui concerne leur mise en œuvre dans les environnements d’entreprise, les organisations doivent comprendre tous les risques encourus et définir les attentes exactes qu’elles ont vis-à-vis de ces logiciels.
La conformité réglementaire jouant un rôle important dans les entreprises américaines depuis la promulgation de la loi Sarbanes-Oxley en 2002, les organisations doivent prouver qu’elles utilisent les logiciels conformément à leur contrat de licence. Cela ne s’applique pas seulement aux logiciels propriétaires, mais aussi à tout logiciel libre mis en œuvre.
Identifiant ce besoin sur le marché, les développeurs d’outils de veille stratégique ont commencé à créer des outils logiciels pour la conservation et la gestion des licences de logiciels à code source ouvert.
Ces outils visent à aider les organisations à documenter et à suivre avec précision les exigences en matière de licences et la fourniture du code d’application. Ce dernier point est important car l’introduction d’un code source ouvert dans un environnement d’entreprise peut présenter des risques pour l’infrastructure et les applications existantes.
Les outils de gestion des logiciels libres visent à atteindre cinq objectifs fondamentaux :
Toujours savoir exactement où se trouvent tous les ensembles de code open-source dans vos environnements organisationnels. Se tenir à l'écart des éventuels problèmes de conformité aux licences. Éviter de gaspiller le temps précieux des développeurs en éliminant tous les processus de suivi manuels. Pour être en mesure de réagir rapidement à toute faille de sécurité identifiée dans un logiciel libre utilisé par l'organisation.
Avant de se lancer dans l’installation de n’importe quel outil de gestion de la conformité open-source, une organisation doit planifier soigneusement et décider quelles seront ses attentes exactes vis-à-vis de l’outil mis en œuvre.
Selon Oskar Swirtun, PDG de FossID en Suède, certains des travaux de base qui doivent être effectués avant la mise en œuvre sont les suivants :
Commencer par désigner un responsable dédié à la conformité des logiciels à code source ouvert. Bien que pour les petites organisations, un seul responsable clé serait capable de gérer la conformité de tous les logiciels utilisés par une organisation. Savoir exactement quels logiciels à code source ouvert sont actuellement utilisés au sein de l'organisation. Les logiciels non approuvés peuvent présenter des risques sérieux pour l'organisation. Ce risque peut se présenter sous n'importe quelle forme. Qu'il s'agisse d'outils de développement spécialisés, de lecteurs multimédias ou de logiciels de montage vidéo, par exemple, ces logiciels peuvent avoir été installés sur divers terminaux à l'insu de l'organisation. Travaillez main dans la main avec les fournisseurs en ce qui concerne la conformité. Si les logiciels libres peuvent constituer une alternative lucrative en raison de leur coût relativement faible et de leur nature transparente, la mise en œuvre de logiciels qui ne respectent pas les règles de conformité adéquates doit être évitée, sous peine de voir l'organisation s'associer aux développeurs de ces logiciels. Fournir un retour d'information pour améliorer l'adhésion du logiciel aux principes de base de la conformité réglementaire. Il est nécessaire de rédiger des manuels et des politiques concernant les logiciels libres, car tout audit de conformité sera basé sur ces informations. Ces politiques constituent la base à partir de laquelle sont régis tous les employés et les processus concernant les licences de logiciels à code source ouvert. Créez des points de contrôle de la conformité du développement, afin de vérifier l'adhésion réelle aux politiques. Comme l'a dit le célèbre Peter Drucker, "Si vous ne pouvez pas le mesurer, vous ne pouvez pas le gérer". Introduire l'automatisation de la conformité, suivie d'une formation pour tous les membres du personnel, afin de garantir une discipline adéquate en ce qui concerne les politiques relatives à la gestion de la conformité des logiciels libres.
Essentiellement, les organisations peuvent grandement bénéficier de la mise en œuvre de certaines applications open-source, car la communauté qui développe ces applications est assez vaste. Il suffit de prendre un exemple comme Kubernetes pour comprendre à quel point ces applications peuvent être puissantes.
Il est toutefois essentiel que les organisations se procurent et mettent en œuvre ces applications en sachant que les développeurs de logiciels et les services qui les mettent en œuvre ne doivent pas perdre de vue la conformité réglementaire.
Par conséquent, il est important que les organisations fassent leurs recherches correctement et mettent en œuvre des outils de gestion de la conformité pour les aider à gérer les licences de logiciels libres et leurs fonctionnalités connexes. Des outils qui s’intègrent à la culture de l’organisation et qui sont faciles à utiliser sont essentiels à l’efficacité à long terme d’une telle entreprise.
Pour résumer, les organisations sont en fin de compte responsables de la conformité réglementaire de leurs activités. La facilité d’acquisition de ces différents types d’outils de gestion devrait motiver encore plus les entreprises. Des modèles d’entreprise évolutifs pour s’adapter à un paysage commercial en constante évolution.