2021 : Une année en open source

décembre 27, 2021 Par admin 0
2021 : Une année en open source

Une illustration illustrant le développement de logiciels open source




Écoutez les DSI, les CTO et d'autres C- cadres supérieurs et de haut niveau sur les stratégies de données et d'IA lors du Sommet sur l'avenir du travail ce 12 janvier 2022.

Apprendre encore plus



Laissez le bulletin d'information d'OSS Enterprise guidez votre parcours open source!

Inscrivez-vous ici

.


Les logiciels open source (OSS) ne sont jamais trop loin des éloges et des controverses, qu'il s'agisse d'un incident de sécurité majeur, d'une bataille de marque ou de piloter un hélicoptère sur Mars.

Revenons sur quelques grands points de discussion OSS de l'année.

Une ouverture sérieuse défaut source

Ci-dessus: Le logo Log4j

La sécurité est toujours un sujet de discussion majeur dans la sphère open source, et 2021 n'était pas différent. La plus grande histoire de l'année était presque certainement la vulnérabilité zero-day trouvée dans la bibliothèque de journalisation Apache Log4j, qui est utilisée par d'innombrables entreprises dans le domaine des consommateurs et des entreprises – d'iCloud d'Apple à AWS et IBM.

Log4Shell, comme on appelle la vulnérabilité, existait depuis 2013, mais n'a été découvert par le personnel de sécurité d'Alibaba que fin novembre et révélé publiquement deux semaines plus tard. Il est considéré comme particulièrement dangereux, étant donné qu'il permet l'exécution de code à distance (RCE), permettant aux pirates d'accéder à des systèmes distants et à des données sensibles. Log4Shell a été élevé au statut de quasi-célébrité lorsqu'il a obtenu une cote de sécurité CVSS (Common Vulnerability Scoring System) de 10.

Bien que l'équipe Apache ait publié un correctif le 6 décembre, Log4j l'omniprésence dans les services cloud, l'infrastructure et partout entre les deux, rend difficile pour chaque entreprise de mettre à jour ses systèmes assez rapidement – en plus de cela, il se peut même qu'elle ne

savoir


que leur logiciel repose sur Log4j en premier lieu. Inutile de dire que les attaquants ont commencé à chercher à exploiter Log4Shell dans la nature et ont élargi leur portée au domaine des ransomwares.

Il y a de nombreuses leçons à tirer de cela, en tant que gestionnaire de programme open source de Reblaze Justin Dorfman a écrit dans VentureBeat:

 » L'incident montre comment une vulnérabilité dans un code d'infrastructure apparemment simple peut menacer la sécurité des banques, des entreprises technologiques, des gouvernements et à peu près n'importe autre type d'organisation. »

Cependant, à la suite de la vulnérabilité Log4j, l'argument habituel a fait son apparition, d'innombrables personnes notant qu'il a mis en lumière les lacunes inhérentes à la sécurité. de logiciels communautaires. Mais d'autres ont répliqué en déclarant que le principal problème était que les entreprises étaient heureuses de bénéficier de l'open source dans les bons moments, de ne rien donner en retour, puis de pointer du doigt l'OSS lorsque les choses tournent mal.

Le truc de log4j illustre, encore une fois, la raison pour laquelle je ne fais plus de trucs Open Source.

Les gens prendront ce que vous avez construit
Ils vont gagner une tonne d'argent avec

Ils ne vous donneront pas un centime

Elles vont vous crier dessus dès qu'il y a un bogue

— Dr Peter Brett (@PeterTBBrett) 11 décembre 2021

Pour nous rappeler quelque peu, l'un des principaux mainteneurs du projet Log4j — Ralph Goers, qui a corrigé le vulnérabilité – a un emploi à temps plein ailleurs en tant que logiciel sont architecte. Goers travaille sur «Log4j et d'autres projets open source» pendant son temps libre.

C'est le mainteneur qui a corrigé la vulnérabilité qui cause des millions(++?) de dollars de dommage.

« Je travaille sur Log4j pendant mon temps libre »

« j'ai toujours rêvé de travailler sur l'open source à plein temps »

« 3 sponsors financent le travail de @rgoers : Michael, Glenn, Matt »

Les gens, qu'est-ce qu'on fait. pic.twitter.com/2hAxUWCjuC

— Filippo ${jndi:ldap://filippo.io/x} Valsorda (@FiloSottile) 10 décembre 2021

Licence poétique

Ci-dessus: LAS VEGAS , NEVADA – 30 NOVEMBRE: les participants arrivent pendant AWS re:Invent 2021,


Crédit image: Noah Berger / Stringer via Getty


L'un des principaux sujets de discussion est sans doute survenu au début de la nouvelle année, lorsqu'Elastic a révélé qu'il transférait son moteur de recherche de base de données Elasticsearch à partir d'une licence open source Apache 2.0. à un duo de licences propriétaires « sources disponibles ». Cette décision n'a finalement pas été une surprise et a été l'aboutissement d'années de confrontation entre Elastic et la branche de cloud computing d'Amazon, Amazon Web Services (AWS).

En tant que source entièrement ouverte projet, toute entreprise avait été libre de faire ce qu'elle voulait avec Elasticsearch, y compris en l'offrant « en tant que service », comme Amazon l'a fait lorsqu'elle a lancé le service Amazon Elasticsearch en 2015. Cela a déclenché une réaction en chaîne d'événements qui a finalement conduit Elastic à déplacer Elasticsearch – et le tableau de bord de visualisation Kibana – vers de nouvelles licences.

Le fait qu'Amazon ait choisi d'utiliser « Elasticsearch » au nom de son propre service géré était l'un des les problèmes — il s'agissait, aux yeux d'Elastic, d'une violation manifeste de la marque, et cela a causé une confusion dans l'espace du marché quant à savoir quel service Elasticsearch était lequel. C'est pourquoi Elastic a déposé une plainte contre Amazon en 2019, mais les poursuites ne sont généralement pas un processus rapide. De plus, le changement de licence a permis d'accélérer les choses en éloignant Amazon de la marque Elasticsearch. Cela a fonctionné, car une semaine seulement après qu'Elastic a annoncé le changement de licence, Amazon a révélé qu'il commencerait à travailler sur un fork Elasticsearch open source, qui serait finalement livré sous un tout nouveau nom – OpenSearch.

Les problèmes de licence étaient également évidents ailleurs dans la sphère open source. Le Software Freedom Conservancy (SFC), dont les sponsors incluent Google et Red Hat, a poursuivi Vizio, alléguant que le fabricant de téléviseurs intelligents avait violé deux licences open source en utilisant et en modifiant le logiciel sans rendre le code source dérivé accessible au public. Vizio ne montre aucun signe de changement, cependant, et l'affaire a pris une tournure quelque peu moche lorsque Vizio a déposé une demande de « suppression » de l'affaire devant le tribunal d'État de Californie, apparemment fondée sur la conviction que « les consommateurs n'ont aucun droit de tiers bénéficiaire en vertu de copyleft. »

Pendant ce temps, le prochain réseau social de l'ancien président américain Donald Trump, «Truth Social», a apparemment violé la licence open source de Mastodon, Mastodon menaçant à l'origine de poursuites judiciaires. Le nœud du problème était que les conditions d'utilisation de Truth Social affirmaient que le code était entièrement propriétaire et ne faisaient aucune référence à sa fondation Mastodon – de plus, la licence open source stipule que tous les projets dérivés doivent également être disponibles sous le même licence.

Bien que le réseau social n'ait pas encore été officiellement lancé, il semble qu'il ait fait un certain pas vers la satisfaction des exigences de licence de Mastodon – il a récemment reconnu qu'il était basé sur Mastodon, et le les développeurs ont téléchargé un fichier zip de son code source. Reste à voir si cela suffira, mais les yeux de la communauté open source resteront rivés sur la société de Trump avant le lancement officiel en 2022.

Lutte contre les marques

La question des marques est en aucun cas unique à AWS vs Elastic. Juste avant le début de la nouvelle année, Facebook a revendiqué la propriété de la marque sur le projet open source « PrestoDB ». Cela a causé un problème pour PrestoSQL, un fork créé par les créateurs originaux de Presto lorsqu'ils ont quitté Facebook – ils ont été obligés de changer le nom de leur projet en Trino.

Avance rapide de dix mois à novembre, et le fournisseur de logiciels de diffusion en direct Streamlabs OBS a dû supprimer «OBS» de son nom après avoir été appelé par le projet open source OBS sur lequel il est construit. Semblable à AWS contre Elastic, éviter la confusion de marque était au cœur de cela, le compte Twitter du projet OBS révélant que certains de ses bénévoles de support devaient faire face à des clients de Streamlabs en colère, qui étaient apparemment confus entre les deux entités.


Nous sommes souvent confrontés à des utilisateurs confus et même à des entreprises qui ne comprennent pas la différence entre les deux applications.

Des bénévoles de soutien sont parfois rencontré des utilisateurs en colère exigeant des remboursements. Nous avons eu des interactions avec plusieurs entreprises qui ne savaient pas que nos applications étaient distinctes.

— OBS (@OBSProject) 17 novembre 2021

L'open source mange Mars

Les logiciels open source sont si omniprésents, on l'a souvent dit qu'il mange le monde. Mais si le premier vol en hélicoptère martien est quelque chose à faire, le logiciel open source mange tout le système solaire.

L'accomplissement historique a été rendu possible par « une équipe invisible de développeurs open source du monde entier », a écrit Nat Friedman, ancien PDG de GitHub. Quelque 12 000 développeurs ont contribué aux projets open source utilisés dans le logiciel qui a propulsé le vol inaugural de l'hélicoptère sur la planète rouge – et pourtant, « la plupart de ces développeurs ne savent même pas qu'ils ont contribué à rendre possible le premier vol en hélicoptère martien », a noté Friedman.

Pour marquer l'occasion, GitHub a placé un badge Mars 2020 Helicopter Mission sur le profil GitHub de chaque développeur qui a contribué au code utilisé dans la mission.

Ci-dessus: badge GitHub

Linux fête ses 30 ans

Linux a été le premier sorti le 17 septembre 1991, le système d'exploitation open source omniprésent a atteint l'âge de 30 ans cette année.

Il est impossible de sous-estimer l'importance de Linux à travers le spectre technologique. Android, le système d'exploitation mobile le plus utilisé au monde, est basé sur une version modifiée du noyau Linux. Aujourd'hui, Linux est utilisé dans tout, des automobiles et du contrôle du trafic aérien aux appareils médicaux, et est également largement utilisé dans les serveurs Web, le plus courant étant Apache. En fait, la croissance du Web au cours des 30 dernières années a été alimentée en grande partie par Linux et des logiciels open source similaires.

Voici les 30 prochaines années d'innovations open source .

VentureBeat

La mission de VentureBeat est d'être une place publique numérique permettant aux décideurs techniques d'acquérir des connaissances sur la technologie transformatrice et traiter. Notre site fournit des informations essentielles sur les technologies et les stratégies de données pour vous guider dans la gestion de vos organisations. Nous vous invitons à devenir membre de notre communauté, pour accéder à :

informations à jour sur les sujets qui vous intéressent

nos newsletters

leader d'opinion contenu et accès à prix réduit à nos événements prisés, tels que

Transform 2021: Apprendre encore plus

fonctionnalités de mise en réseau, et plus

Devenir membre