Les logiciels libres offrent un socle vital mais fragile

Les FOSS sont la colonne vertébrale de notre ère numérique. Ils alimentent nos smartphones, nos applications, nos services en ligne et même les infrastructures critiques. Pourtant, comme le révèle l’étude Census III, cet écosystème repose souvent sur des bases précaires. Dépendance aux comptes individuels, logiciels obsolètes encore largement utilisés, ou encore sécurité insuffisante des dépendances... Les défis ne manquent pas.

Cette étude, menée par l'université d'Harvard et The Linux Foundation, nous éclaire sur les forces et faiblesses des FOSS. Elle met aussi en lumière des solutions possibles pour garantir leur pérennité (un peu comme Eudéeffe qui vous doit plus que la lumière !). Voici l'analyse de ce qu'il faut en retenir.

Un écosystème dynamique mais sous pression

Il faut se rendre à l'évidence, l’écosystème JavaScript, et particulièrement npm, se distingue par son omniprésence. Avec des bibliothèques comme react-dom (pour les interfaces utilisateur) ou lodash (manipulation de données), npm domine les classements. Mais cette dépendance massive soulève des problèmes. L’étude montre que 47 % des packages npm contiennent une ou zéro fonction, une caractéristique de la "micro-modularité" de JavaScript.

Bien que cette approche favorise l’innovation rapide, elle entraîne aussi une hyper-dépendance, j'en fais souvent les frais à titre personnel. Chaque projet repose sur des dizaines, voire des centaines de petites bibliothèques, rendant les audits de sécurité complexes et augmentant les risques de failles.

Le boom des bibliothèques cloud

Une autre tendance forte relevée par le Census III est la montée en puissance des bibliothèques cloud. Des outils comme boto3 (pour AWS) ou google-cloud-go (pour... Google Cloud) font leur entrée dans les classements. Cela reflète la transformation des infrastructures numériques, de plus en plus tournées vers les services cloud. Cependant, cette concentration des dépendances sur quelques géants technologiques pose des risques en cas de vulnérabilités ou de dysfonctionnements.

Rust, où la montée d’une alternative sûre

En réponse aux failles de sécurité mémoire des langages comme C et C++, Rust s’impose progressivement et massivement. Le rapport note une augmentation de 500 % de l’utilisation des bibliothèques Rust depuis 2020. C’est une excellente nouvelle pour un écosystème souvent critiqué pour ses problèmes de sécurité, notamment dans les systèmes critiques. Sans oublié la rapidité des applications développées avec ce language.

Des défis structurels à surmonter grâce à la contribution d'une poignée de développeurs

L’un des constats les plus alarmants du Census III est que de nombreux projets critiques reposent sur une ou deux personnes seulement. Parmi les 50 principaux projets non-npm étudiés, 40 % ont un ou deux contributeurs responsables de plus de 80 % des commits en 2023. Cette concentration rend ces projets vulnérables en cas d’abandon, de surcharge ou de compromission de comptes.

Les incidents récents montrent que ces risques ne sont pas théoriques. Le retrait soudain du package left-pad en 2016 a "cassé Internet" pendant plusieurs heures. Plus grave, en 2022, un développeur a saboté ses propres bibliothèques (colors.js, faker.js) en introduisant une boucle infinie (c'est malin !).

L’héritage des logiciels obsolètes

Le rapport dénonce aussi la persistance des logiciels dépassés. Par exemple, le package minimist reste largement utilisé malgré l’existence de solutions modernes comme yargs. Ces logiciels hérités, souvent non maintenus, augmentent les risques de sécurité. L’étude appelle à faciliter la transition vers des alternatives récentes et suivies, en fournissant des outils pour réduire les coûts et les efforts nécessaires.

Un manque de standardisation des dépendances

Enfin, l’absence d’un schéma de nommage uniforme pour les composants logiciels complique la gestion des dépendances. L’adoption de formats comme purl (Package URL) pourrait améliorer la transparence et la sécurité, mais ces initiatives restent embryonnaires. Ce manque de standardisation ralentit les audits et compromet les efforts de sécurisation des chaînes d’approvisionnement logicielles.

Agir pour sécuriser les fondations du numérique

Le Census III dresse un constat clair : l’écosystème des logiciels libres est à la fois un moteur d’innovation et un point de fragilité. Pour garantir sa pérennité, il est essentiel d’agir sur plusieurs fronts :

• Renforcer la sécurité des contributeurs : promouvoir l’authentification multi-facteurs et migrer les projets critiques vers des comptes organisationnels.
• Investir dans les projets stratégiques : financer les bibliothèques les plus utilisées et soutenir leurs contributeurs.
• Faciliter les transitions technologiques : accompagner les migrations vers des outils modernes comme Rust ou Python 3.
• Standardiser les dépendances : adopter des formats comme purl pour simplifier les audits et améliorer la traçabilité.

Comme le souligne l’étude :

Les logiciels libres ne sont pas seulement des outils, mais les fondations invisibles de l’économie numérique. Leur santé est essentielle à notre avenir.

Alors, en tant qu’utilisateur ou développeur, que pouvez-vous faire pour soutenir cet écosystème vital ? Peut-être commencer par examiner vos dépendances... et envisager de contribuer !

Sources multiples :

Le rapport Census III
The Linux Foundation
NEXT