Notes d’OpenSourceExperience 2022

Cette année j’étais en touriste à l’OSXP2022 pour voir ce qui se faisait de beau dans le village des logiciels libres où j’ai pu rencontrer de chouettes gens tel qu’Edelhas, créateur de MetaWatt.fr, et Ophélie Cohelo avec qui j’ai eu le plaisir de travailler sur Framadate version Funky en 2021 et 2022.

Financement des briques critiques

Nous pouvons faire des hackatons pour contribuer aux briques critiques, telles que les fonctionnalités que l’on souhaite voir émerger.
Investir du temps est tout aussi important que de consacrer des investissements financiers.

On finance des choses dans les communautés open source, tel que dans xwiki, nextcloud, jitsi, qui ont énormément servi au moment des confinements pour faire l’école à la maison et faire du télétravail tout en gardant la main sur notre infrastructure infrormatique.

Nous ne sommes pas naïfs on sait parfaitement qu’il est possible et qu’il arrive régulièrement que des briques malicieuses soient inclues dans les projets au prétexte d’évènements faits sous des prétextes de bénéfices au grand public.

Ce que l’on fait actuellement c’est inclure sciemment des outils qui s’avèrent être malicieux dans nos systèmes critiques, tous les jours.

Comment faire en sorte que suffisament d’yeux regardent le code pour résoudre ce problème, faut il attendre des USA de résoudre ce problème ?

Il faut le résoudre soi même, faire les audits et la contribution au bien commun de façon volontaire.

Nous, la commission Européenne, parfois, nous ne faisons que suivre la mode des idées portée par les gens qui font la commission. Il faut des développeurs qui aillent parler à leurs députés et politiciens.

Les gens, collectivement, examinent ce qui se passe.
Nous avons besoin de discuter et partager l’information.

Il n’y a pas encore cette culture de publier les sources des logiciels utilisés dans l’administration.
Si cette culture était dominante dans les ministères, il y aurait probablement des avancées rapides.
Des choses sont faites avec Etalab mais il faut aller plus loin.

Nous avons des dépendances en cascade, qui sont modifiées plusieurs fois par mois.
Github nous a personnellement fait disparaître nos dépôts sans prévenir.
Nos DevOps ont délocalisé une partie de notre chaîne de production et on réduit notre dépendance.
Le software héritage est un musée dont nous avons besoin d’un point de vue stratégique.
Souhaitez vous avoir vos dépendances qui survivent à des disparitions dans d’autres pays ? Quelle est notre capacité de résilience?
Tout est tellement lié de façon pratique que l’on ne pense pas à cette chaîne de dépendance. Alors qu l’on devrait.
Pour OpenFoodFacts on s’assure que les données soient résilientes à la panne, à la maladresse, aux défauts dans les liens.
On fait du bug bounty, avec suffisament d’yeux n’importe quel problème devient trivial à débusquer. Il faut s’assurer que les yeux soient dirigés vers ce que l’on produit.

Nous devons considérer sérieusement les cycles de vie, savoir quand tuer des parties du code, supprimer des choses. On doit penser au long terme, réduire le bus factor, coordiner les échecs, des choses malheureuses peuvent se produire. Le covid l’a mis grandement en évidence.

Nous pouvons investir du temps pour réaliser la maintenance d’un projet. Dédier du temps aux employés qui utilisent les briques critiques pour remonter de la valeur ajoutée.

On travaille avec de l’argent public, ce qui nous demande du temps de papiers administratif, faire des présentation, dire qu’on fait des trucs, présenter, faire des démonstrations, détailler nos choix. Il y a un problème de confiance en les personnes à qui l’on donne un gros paquet d’argent, il faut faire en sorte que cet argent soit d’avantage employé à la réalisation des biens communs critiques, car cela permettra d’avantage de pérennité.

Un levier stratégique pour la souveraineté numérique européenne

Le sujet pris en compte depuis un bout de temps, mais peu de choses restent actées.

Le covid a précipité la prise de conscience de l’intérêt d’avoir une indépendance concernant les logiciels utilisés.
La loi lemaire de 2016
Interopérabilité, souveraineté numérique.
Chemin au long cours, parfois impossible.
Aspect interface difficile en défaveur des outils libres.
Sécuriser les briques critiques, authentification, assistant vocal, hadoop 3.

On donne plus qu’on ne fait d’audit de sécurité.
On a une responsabilité collective vis à vis de la mainenance de ces briques, de notre impact sur l’environnement, du cycle de vie des logiciels libres, de leur financement.
Open source programme office, aborder tous les sujets du logiciel libre.
à la DINUM, il existe le pôle logiciel libre.

Plan d’action commun numérique, montée des ministères de l’éducation nationale et enseignement supérieur de la recherche.
baromètre open access.
L’éthique de la recherche est proche de celle du logiciel libre.
Attractivité de l’administration à travailler, 6 étudiants travaillent à contribuer à des LL.

Collaborations entre pays et l’europe sont initiées.
code.europa.eu pour les projets de la commission

Phenix, suite logicielle.
Connaître et faire connaître le LL, on avance dessus.
Travailler en réseau entre éditeurs logiciels, pour suivre des standards, s’entraider, faire de la communication et du marketing, ce qui peut être vu comme un gros mot mais n’en est pas. Si on fait un LL mais que personne ne s’en sert c’est dommage.

Aujourd’hui l’administration ne sait pas ce qu’elle achète en matière de logiciels.
Le cloud c’est de la télématique. Y’a t il assez de reversement au pot commun par les personnes qui s’en servent?
Des choses ont été débutés autour d’openstack.

On s’en sortia jamais si le logiciel libre n’est réputé que pour des raisons éthiques, ou utilisé uniquement par des passionés. Il faut que les gens apprennent dès le début à se servir de ces outils, dès la jeunesse.
Aujourdh’ui on est à revers avec le sujet du cloud de confinace, on pourrait en parler avec les gens de Red Hat.
le CNLL travaille sur une charte éthique.
To be suivre.