Des routes et des ponts (11, 12 et 13)
Nadia Eghbal
Dans ce onzième chapitre de son ouvrage Des routes et des ponts [1] que l'équipe Framalang vous traduit semaine après semaine, Nadia Eghbal aborde le problème endémique des infrastructures numériques open source, leur manque de ressources humaines pérennes : entre ceux qui s'y consacrent à corps perdu et s'arrêtent au bord du burnout, les entreprises qui profitent des ressources sans jamais contribuer en retour, ceux qui se lancent ingénument dans le développement sans notion bien nette de sécurité, ceux qui ne peuvent contribuer que sur un temps libre limité... Des témoignages sur ces situations et d'autres encore ont été recueillis dans ce chapitre.
Comme le souligne l'autrice, cette situation bancale a pour conséquence un coût important en termes d'argent et de sécurité pour l'ensemble de l'industrie numérique qui puise abondamment dans l'infrastructure numérique open source.
Les défis de la maintenance
Négliger les infrastructures a un coût caché
Comme nous l'avons vu, l'infrastructure numérique est un constituant essentiel du monde actuel. Notre société repose sur les logiciels, et ces logiciels s'appuient de plus en plus sur une infrastructure qui utilise des méthodologies open source. Dans la mesure où nous prenons peu d'initiatives pour comprendre et pérenniser notre infrastructure numérique, que mettons-nous en péril ?
Ne pas réinvestir dans l'infrastructure numérique présente des dangers que l'on peut classer en deux catégories : les coûts directs et les coûts indirects.
Les coûts directs
Les coûts directs sont les bogues non détectés et les vulnérabilités de sécurité qui peuvent être exploitées à des fins malveillantes, ou qui mènent à des interruptions imprévues dans le fonctionnement des logiciels. Ces coûts sont fortement ressentis et causent des problèmes qui doivent être résolus immédiatement.
Les coûts indirects
Les coûts indirects se traduisent par exemple par la perte de main-d'œuvre qualifiée, ainsi qu'une croissance faible et peu d'innovation. Même si ces coûts ne sont pas immédiatement perceptibles, ils représentent une valeur sociale difficile à évaluer.
Bogues, failles de sécurité et interruptions du service
L'introduction de ce rapport relatait les détails de la faille de sécurité Heartbleed, qui a été découverte en avril 2014 dans une bibliothèque logicielle appelée OpenSSL. Du fait de son usage généralisé, notamment pour le fonctionnement de nombreux sites web majeurs, Heartbleed a largement attiré l'attention du public sur le problème des failles de sécurité des logiciels.
En septembre 2014, une autre faille majeure a été découverte dans un autre outil essentiel appelé Bash. Bash est inclus dans des systèmes d'exploitation populaires tels que Linux et Mac OS, ce qui fait qu'il est installé sur 70 % des machines connectées à internet.
L'ensemble de bugs de sécurité, surnommés « ShellShock », peuvent être exploités pour permettre un accès non autorisé à un système informatique. Les vulnérabilités étaient restées non-détectées pendant au moins une décennie. Bash a été créé à l'origine par un développeur appelé Brian Fox en 1987, mais depuis 1992 il est maintenu par un seul développeur, Chet Ramey, qui travaille comme architecte technique senior à la Case Western University dans l'Ohio.
Un autre projet, OpenSSH, fournit une suite d'outils de sécurité dont l'usage est largement répandu sur internet. Des développeurs ont trouvé de multiples failles dans son code qui ont pu être prises en charge et corrigées, y compris celle de juillet 2015, qui permettait aux attaquants de dépasser le nombre maximal d'essais sur les mots de passe, et celle de janvier 2016, qui laissait fuiter les clefs de sécurité privées.
L'un des aspects du problème est que beaucoup de projets sont des outils anciens, développés au départ par un ou plusieurs développeurs passionnés, qui ont par la suite manqué de ressources pour gérer le succès de leur projet. Avec le temps, les contributions diminuent et les acteurs restants se lassent et s'en vont, mais pour autant le projet est toujours activement utilisé, avec seulement une ou deux personnes tâchant de le maintenir en vie.
Un autre problème croissant dans le paysage des logiciels actuel, où l'on voit tant de jeunes développeurs inexpérimentés, c'est que les concepts de sécurisation ne sont pas enseignés ou pas considérés comme prioritaires. Les nouveaux développeurs veulent simplement écrire du code qui marche. Ils ne savent pas faire un logiciel sécurisé, ou pensent à tort que le code public qu'ils utilisent dans la sécurité de leurs programmes a été vérifiée. Même les bonnes pratiques de divulgation sécurisée ou de gestion des failles ne sont généralement pas enseignées ni comprises. La sécurité ne devient un enjeu que lorsque le code d'un développeur a été compromis.
Christopher Allen a co-écrit la première version du protocole de transfert sécurisé TLS (Transport Layer Security), dont les versions successives sont devenues un standard utilisé quasiment universellement en ligne, y compris sur des sites comme Google, Facebook ou YouTube. Bien que le protocole soit devenu un standard, Christophe parle ainsi de ses origines :
« En tant que co-auteur de TLS, je n'aurais pas prédit que 15 ans plus tard la moitié d'Internet utiliserait une implémentation de TLS maintenue par un ingénieur à quart-temps. C'est ce manque de maintenance qui a conduit au bug tristement célèbre de Heartbleed. Je raconte aujourd'hui cette anecdote à mes collègues qui travaillent sur les crypto-monnaies pour les avertir que leur chiffrage, ultra moderne aujourd'hui, pourrait être 'dépassé' dans 10 ans et subir le même sort, le projet n'étant plus aussi passionnant, et leur travail acharné risquerait d'être compromis. »
En définitive, la stabilité de nos logiciels repose sur la bonne volonté et la coopération de centaines de développeurs, ce qui représente un risque significatif. La fragilité de notre infrastructure numérique a récemment été démontrée par un développeur nommé Azer Koçulu.
Azer, un développeur Node.js, hébergeait un certain nombre de bibliothèques sur un gestionnaire de paquets nommé npm. Après un conflit avec npm sur la propriété intellectuelle d'un de ses projets, Azer, mécontent de l'issue du conflit, décida de supprimer toutes les publications qu'il avait pu faire sur npm.
L'une de ces bibliothèques, left-pad, avait été réutilisée dans des centaines d'autres projets. Même s'il ne s'agissait que de quelques lignes de code, en supprimant le projet left-pad, Azer a « cassé » les algorithmes d'innombrables protocoles logiciels développés par d'autres. La décision d'Azer a provoqué tant de problèmes que npm a pris la décision sans précédent de republier sa bibliothèque, contre la volonté d'Azer, afin de restaurer les fonctionnalités offertes par le reste de l'écosystème.
Npm a aussi revu sa politique pour qu'il soit plus difficile pour les développeurs de retirer leurs bibliothèques sans avertissement, reconnaissant ainsi que les actions d'un individu peuvent en affecter négativement beaucoup d'autres.
Les logiciels ne reçoivent pas la maintenance nécessaire dont ils ont besoin
Construire une infrastructure numérique de façon désorganisée implique que tout logiciel sera construit plus lentement et moins efficacement. L'histoire de l'infrastructure Python en fournit un bon exemple.
L'un des importants projets d'infrastructure pour les développeurs Python se nomme Setuptools. Setuptools fournit un ensemble d'outils qui rendent le développement en Python plus simple et plus standardisé.
Setuptools a été écrit en 2004, par le développeur PJ Eby. Pendant les quatre années qui ont suivi, l'outil a été largement adopté. Néanmoins, Setuptools était difficile à installer et à utiliser, et Eby était très peu réceptif aux contributions et aux corrections apportées par d'autres, car il voulait, en tant que concepteur, avoir le dernier mot sur Setuptools. En 2008, un groupe de développeurs conduits par Tarek Ziade a décidé de forker le projet pour obliger Eby à faire des améliorations. Ils ont appelé le nouveau projet « Distribute ». En 2013, les deux projets ont fusionné dans Setuptools.
Ce long désaccord a néanmoins souligné à la fois l'état douteux des outils de l'infrastructure de Python, et la difficulté de mettre en œuvre des améliorations, notamment parce que personne ne se consacrait aux problèmes de la communauté ni ne désirait s'en occuper.
Les outils de Python ont commencé à s'améliorer quand le groupe de travail Python Packaging Authority (PyPA) s'est formé pour se consacrer spécifiquement à définir de meilleurs standards pour le paquetage. Un développeur, Donald Stufft, fit des outils de paquetage Python le cœur de son travail et fut engagé par HP (devenu HPE) en mai 2015 pour poursuivre son travail (son parcours sera évoqué plus tard dans ce rapport).
Un autre exemple intéressant est celui de RubyGems.org, un site web utilisé par la plupart des développeurs Ruby pour héberger leurs bibliothèques Ruby. Ruby a été utilisé pour bâtir des sites web majeurs comme Twitter, AirBnB, YellowPages et GitHub lui-même. En 2013, une faille de sécurité de RubyGems.org a été découverte, mais elle ne fut pas réparée avant plusieurs jours, parce que RubyGems.org était entièrement maintenue par des bénévoles. Les bénévoles pensaient régler le problème le week-end, mais pendant ce temps, quelqu'un d'autre a découvert la faille et a piraté le serveur de RubyGems.org. Après l'attaque, les serveurs ont dû être entièrement reconfigurés. Plusieurs bénévoles ont pris sur leur temps de travail, et certains ont même pris des jours de congé, afin de remettre RubyGems.org en état de marche le plus vite possible.
Comme RubyGems.org est un élément d'infrastructure critique, la faille de sécurité affectait par rebond beaucoup de développeurs et d'entreprises. L'incident a mis en lumière le fait qu'un travail fondé uniquement sur la base du volontariat limitait les garanties de sécurité et de fiabilité que l'on pouvait offrir sur une infrastructure logicielle importante. Des dizaines de développeurs se mobilisèrent de façon « bénévole » pendant l'incident parce que le problème affectait directement leur emploi salarié.
Malheureusement, aucun d'entre eux n'avait l'expérience requise pour être utile, et aucun d'entre eux n'a continué à offrir son aide une fois les serveurs réparés. En 2015, une organisation nommée Ruby Together a été formée pour aider à financer la maintenance et le développement de l'infrastructure Ruby, entre autres RubyGems.org, en sollicitant des entreprises comme sponsors.
La perte de main-d'œuvre qualifiée
Comme dans beaucoup de communautés de bénévoles, le « burnout » est commun parmi les contributeurs open source, qui se retrouvent à répondre aux requêtes d'utilisateurs individuels ou d'entreprises, pour un travail sans compensation. Beaucoup de développeurs ont des anecdotes où des entreprises les sollicitaient pour du travail gratuit. Daniel Roy Greenfield, développeur Django et Python, a écrit :
« J'ai personnellement eu des demandes pour du travail non-payé (les discussions pour payer le travail n'aboutissent jamais) par des entreprises à haut profit, grandes ou petites, pour [mes projets]. Si je ne réponds pas dans les temps convenus, si je n'accepte pas une pull request merdique, on va me mettre une étiquette de connard. Il n'y a rien de pire que d'être face à des développeurs du noyau Python/PyPA travaillant pour Redhat [sic], qui exigent de toi un travail non payé tout en critiquant ce qu'ils considèrent comme les insuffisances de ton projet, pour te pourrir ta journée et plomber ta foi en l'open source. »
(Red Hat est une multinationale du logiciel avec un revenu annuel excédant les 2 milliards d'euros, qui vend des logiciels open source à des clients d'entreprise. Du fait de la nature de leur entreprise, les employés de Red Hat utilisent et contribuent à de nombreux projets open source : en un sens, Red Hat est devenu la tête d'affiche de l'open source dans le monde de l'entreprise. Nous reparlerons de son succès financier plus tard dans ce rapport).
Read the Docs, service d'hébergement de documentation technique précédemment mentionné, annonce explicitement sur son site qu'il ne s'occupe pas de l'installation personnalisée dans les entreprises ou chez les particuliers.
L'un des mainteneurs, Éric Holscher, va jusqu'à faire ce commentaire :
« Je suis à peu près sûr que Read the Docs n'a aucun intérêt à être open source, vu que les utilisateurs privés ne contribuent jamais en retour, et se contentent de demander une assistance gratuite. »
Maquess, le contributeur OpenSSL, a tenu un discours acerbe à propos des requêtes récurrentes sur ses posts qui parlent de financement :
« C'est à vous que je pense, entreprises du Fortune 1000. Vous qui incluez OpenSSL dans vos firewal-/dispositifs-cloud-produits financiers ou de sécurité, tous ces produits que vous vendez à profit, ou que vous utilisez pour vos infrastructures et communications internes. Vous qui n'avez pas besoin de financer une équipe interne de programmeurs pour se débattre avec du code crypté, puis qui nous harcelez pour obtenir une assistance gratuite quand vous réalisez que vous êtes incapables de l'utiliser. Vous qui n'avez jamais levé le petit doigt pour contribuer à la communauté open source qui vous a fait ce cadeau. Les concernés se reconnaîtront. Certains développeurs choisissent d'arrêter de maintenir leurs projets parce qu'ils n'ont plus assez de temps à y consacrer, et espèrent que quelqu'un d'autre prendra le relais. Pendant ce temps, les entreprises, les gouvernements et les individus dépendent de ces bibliothèques pour leur bon fonctionnement, inconscients des enjeux sous-jacents. »
David Michael Ross, ingénieur manager dans une agence web, a écrit au sujet de son expérience :
« Pour moi, c'est là que le bât blesse. [...] On sait qu'on a créé quelque chose gratuitement, par passion, et on voit ce flux infini de personnes qui crient "plus ! encore plus !" et qui se mettent en colère quand on ne traite pas leur cas particulier.
Il y avait mon numéro de téléphone sur l'un de mes sites personnels pour que mes amis puissent me joindre. Je l'ai enlevé au bout d'une semaine parce que des gens m'appelaient à toute heure de la journée pour de l'assistance sur les plugins, alors qu'il y a un forum consacré à ça. Il n'y a rien de fondamentalement méchant là-dedans, c'est juste que c'est usant. On se met à avoir peur de vérifier ses mails ou de répondre au téléphone. »
Ryan Bigg, qui écrit de la documentation technique pour le framework Ruby on Rails, a annoncé en novembre 2015 qu'il renonçait à tout travail open source :
« Je n'ai plus le temps ni l'énergie de m'investir dans l'open source. Je ne retire strictement aucun revenu de mon travail open source, ce qui veut dire que le travail que je fais là, c'est du temps que je pourrais consacrer à des activités perso, ou à écrire. Ce n'est pas justifié d'attendre de moi que je travaille encore, en dehors de mon emploi salarié, sans que je sois honnêtement rétribué pour ça (en temps ou en argent). C'est aussi une recette qui a de bonnes chances de me conduire au burnout ou de me rendre juste globalement aigri.
Par ailleurs, la perte de main-d'œuvre qualifiée dans l'open source, ce n'est pas seulement les contributeurs qui démissionnent, c'est aussi ceux qui n'ont jamais contribué du tout. »
Il existe très peu de statistiques sur la démographie des contributeurs open source, ce qui est déjà révélateur en soi. Une analyse récente de GitHub a révélé que seulement 5,4 % des contributeurs open source étaient des femmes, qui occupent pourtant environ 15 à 20 % des postes techniques dans l'ensemble des entreprises de logiciels.
L'une des raisons qui font que les contributeurs open source sont un groupe remarquablement plus homogène que le secteur de la technologie dans son ensemble, c'est qu'ils ont besoin de temps et d'argent pour apporter dans un premier temps des contributions significatives. Ces contraintes empêchent des contributeurs par ailleurs qualifiés d'entrer dans cet espace.
David Maclver, créateur de Hypothésis, une bibliothèque Python qui sert à tester des applications logicielles, explique pourquoi il a pu passer autant de temps sur le projet :
« J'ai pu le faire seulement parce que j'avais le temps et l'argent pour le faire. J'avais le temps parce que j'étais obsessionnel, je n'avais personne à charge, et je n'avais pas d'emploi. Je pouvais me permettre de ne pas avoir d'emploi parce que j'avais de l'argent. J'avais de l'argent parce que pendant la dernière moitié de l'année passée, je touchais un salaire deux fois plus élevé que d'habitude, en dépensant deux fois moins que d'habitude, et je traversais une dépression qui me rendait trop borderline pour avoir envie de dépenser mon argent dans quoi que ce soit d'intéressant. Ce ne sont pas des conditions qu'on peut raisonnablement exiger de quelqu'un. [...] Est-ce qu'on pourrait produire un logiciel de qualité en moins de temps que ça, en ne travaillant que sur du temps libre ? J'en doute. »
Photo par hiroo yamagata (CC BY 2.0) [2]
Cory Benfield, un développeur pour les fonctions de base de Python, écrit :
« De manière générale, les personnes qui ne sont pas des hommes cisgenres [3], hétérosexuels, blancs, de classe moyenne, et anglophones sont moins susceptibles de pouvoir assumer les risques financiers accrus associés à l'absence d'emploi stable. Cela signifie que ces personnes ont vraiment besoin d'un salaire régulier pour pouvoir contribuer le plus efficacement possible. Et nous avons besoin de leur contribution : des équipes diversifiées font un meilleur travail que des équipes homogènes. »
Charlotte Spencer, qui contribue au framework logiciel Hoodie et au système de bases de données PouchDB, fait écho à cette opinion :
« Toutes mes contributions sont purement bénévoles. Je n'en retire pas d'argent, même si j'aimerais beaucoup pouvoir. J'ai demandé à des vétérans de l'open source s'ils étaient payés et ce n'est pas le cas, ce qui m'a découragé d'essayer quoi que ce soit (si ces gens-là ne sont pas payés, pourquoi le serais-je ?). J'y consacre la plus grande partie de mon temps libre, mais j'essaie d'en faire moins parce que ça envahissait trop ma vie. »
Jessica Lord, développeuse, a contribué activement à l'open source tout en travaillant à Code for America, une organisation à but non-lucratif qui soutient la technologie dans le secteur public. Urbaniste de formation, elle insiste sur le fait qu'elle n'avait « pas de diplôme en informatique, pas d'expérience formelle en programmation, mais un portfolio GitHub ».
Ses contributions régulières attirèrent l'attention de la plate-forme GitHub elle-même, pour qui elle travaille désormais. Cependant, Jessica note qu'elle a pu contribuer à l'open source grâce à un concours de circonstances « particulier » : elle a accepté une baisse de salaire pour travailler à Code for America, utilisé toutes ses économies, travaillé « presque non-stop » sur des projets open source, et bénéficié d'une communauté de soutiens.
À propos du manque de diversité dans l'open source, Jessica écrit :
« La valeur des savoirs communs ne peut être surestimée. Nous devons faire mieux. Nous avons besoin des idées de tout le monde. C'est le but que nous devrions chercher à atteindre. Il est nécessaire que l'open source soit ouvert à tous. Pas seulement aux privilégiés ou même aux seuls développeurs. »
Ce dernier point soulevé par Jessica Lord est révélateur : permettre à des profils plus divers de participer à l'open source peut aider à pérenniser l'open source en elle-même. D'un point de vue fonctionnel, la grande majorité des contributeurs open source sont des développeurs, mais beaucoup d'autres rôles sont nécessaires pour gérer les projets d'ampleur, comme la rédaction, la gestion de projet ou la communication. Les projets open source ne sont pas différents des autres types d'organisations, y compris les startups où l'on a besoin de personnes se chargeant de l'administration, du marketing, du design, etc., qui sont autant de fonctions nécessaires au fonctionnement de base d'une structure. C'est en partie parce que la culture open source repose principalement sur les développeurs que la pérennité financière est si rarement l'objet de discussions et d'actions concrètes.
Enfin, l'homogénéité des contributeurs open source impacte les efforts en faveur de la diversité dans le monde de la technologie au sens large, puisque l'open source est étroitement lié à l'embauche. En effet, comme nous l'avons remarqué plus haut, beaucoup d'employeurs utilisent les contributions open source, notamment les profils GitHub, pour découvrir leurs futurs employés potentiels ou pour vérifier les qualifications d'un candidat. Les employeurs qui se fient ainsi essentiellement aux preuves de contributions open source ne recrutent que parmi un vivier de candidats extrêmement restreint.
Ashe Dryden, dans un essai important intitulé L'Éthique du travail non payé et la Communauté OSS, expliquait :
« Juger que quelqu'un est un bon programmeur en se basant uniquement sur le code qu'il rend disponible publiquement, c'est exclure bien plus que les gens marginaux. C'est aussi exclure quiconque n'est pas autorisé à publier son code publiquement pour des raisons de licence ou de sécurité. Cela concerne également un grand nombre de travailleurs freelance ou de contractuels qui, pour des raisons légales, n'ont pas le droit de revendiquer publiquement leur participation à un projet (par exemple s'ils ont signé un accord de confidentialité). Dans une industrie où on lutte pour dénicher assez de talents, pourquoi limitons-nous artificiellement le spectre des candidats ? » [4].
Comment atténuer ou éviter certains des coûts qui s'imposent aux personnes qui participent à l'élaboration d'infrastructures numériques aujourd'hui ? Pour commencer, nous analyserons comment les projets d'infrastructure sont actuellement financés.
En quête de modèle économique
Dans notre projet de traduction de l'ouvrage de Nadia Eghbal, Roads and Bridges, nous abordons aujourd'hui une section importante consacrée aux modes de financement de ce qu'elle appelle l'infrastructure numérique et qui est comme l'épine dorsale de du monde informatique.
Elle donne ici un aperçu avec quelques exemples significatifs des trois principales voies explorées avec des succès variables par les développeurs et les entreprises : l'incitation par des récompenses, la monétisation par des services et le recours à des licences open source hybrides, en partie payantes...
Des modèles économiques pour les infrastructures numériques
Certains aspects des infrastructures numériques peuvent fonctionner dans un contexte concurrentiel. Les bases de données et les services d'hébergement, par exemple, sont souvent des affaires profitables, bien financées, parce qu'elles peuvent faire payer l'accès. Tout comme l'accès à l'eau ou à l'électricité, l'accès à un serveur ou à une base de données peut être mesuré, facturé, et fermé si les honoraires ne sont pas réglés.
Heroku (mentionné au début de ce rapport) et Amazon Web Services sont deux exemples notables de plates-formes qui vendent des services d'infrastructure numérique à des développeurs logiciels contre une redevance (à noter qu'aucun des deux n'est un projet open source). Des projets open source similaires, à ce niveau d'infrastructure, tels que OpenStack (une plate-forme concurrente d'Amazon Web Services) ou MySQL (une base de données), ont trouvé leurs assises dans des entreprises. OpenStack est financé par un consortium d'entreprises, et MySQL a été racheté par Oracle.
Une partie de ce qui rend ces services financièrement attractifs, c'est l'absence de « bruit ». Pour un seul logiciel, un développeur utilise parfois 20 bibliothèques différentes, avec chacune des fonctions différentes, mais il n'a besoin que d'une seule base de données. En conséquence, les projets à succès ont plus de chances d'obtenir l'attention et le soin dont ils ont besoin.
Il existe une autre façon utile de cerner les infrastructures que l'on peut facturer : s'il y a un risque immédiat de défaillance, alors il y a probablement un modèle économique. En d'autres termes, un serveur peut subir des interruptions de service inattendues, tout comme l'électricité peut sauter à l'improviste, mais un langage de programmation ne « casse » ni n'a des périodes d'indisponibilités de cette même façon, parce qu'il s'agit d'un système d'information.
Pour ce genre de projets open source, le modèle économique a tendance à se focaliser sur la recherche de services ou d'assistance facturables. Cela fonctionne pour les projets qui bénéficient d'un usage significatif par les entreprises, en particulier quand il s'agit d'un problème techniquement complexe, ou lorsqu'une entreprise a besoin qu'une fonction soit développée.
Récompenses
À petite échelle, des gens ou des entreprises promettent parfois des « récompenses » d'ordre pécuniaire pour l'atteinte de certains objectifs de développement.
Par exemple, IBM demande régulièrement de nouvelles fonctionnalités pour divers projets par le biais d'un site web appelé Bountysource [5], offrant jusqu'à 5 000 $ par tâche. Bountysource est une plate-forme populaire pour trouver et proposer des récompenses ; elle compte plus de 26 000 membres. 120 récompenses aident à régler les problèmes précédemment mentionnés liés aux simples dons à un projet. Comme les récompenses sont clairement liées à un résultat, l'argent va être utilisé. En revanche, les récompenses peuvent avoir des effets pervers pour l'incitation à contribuer à un projet.
Les récompenses peuvent dicter quel travail sera ou ne sera pas effectué, et parfois ce travail n'est pas en phase avec les priorités d'un projet. Il peut aussi introduire du bruit dans le système : par exemple, une entreprise peut offrir une forte récompense pour une fonctionnalité que les propriétaires du projet ne considèrent pas comme importante.
Du côté des contributeurs, des personnes extérieures sans connaissances sur un projet peuvent y participer seulement pour obtenir la récompense, puis le quitter. Ou bien elles peuvent bâcler le travail requis, parce qu'elles essaient d'obtenir des récompenses. Enfin, les récompenses peuvent être une façon appropriée de financer de nouvelles fonctionnalités ou des problèmes importants, mais sont moins pratiques lorsqu'il s'agit de financer des opérations continues, comme le service client ou la maintenance.Jeff Atwood, le créateur de Stack Overflow, a remarqué les problèmes suivants avec les programmes de récompenses, en particulier en ce qui concerne la sécurité :
« L'un des effets pervers de cette tendance à attribuer des récompenses pour les rapports de bugs est que cela n'attire pas seulement de véritables programmeurs intéressés par la sécurité, mais aussi tous les gens intéressés par l'argent facile. Nous avons reçu trop de rapports de bugs de sécurité "sérieux" qui n'avaient qu'une importance très faible. Et nous devons les traiter, parce qu'ils sont "sérieux", n'est-ce pas ? Malheureusement, beaucoup d'entre eux ne représentent qu'un gaspillage de temps... Ce genre d'incitation me semble mauvais. Même si je sais que la sécurité est extrêmement importante, je vois ces interactions avec de plus en plus d'inquiétude parce qu'elles me créent beaucoup de travail et que le retour sur investissement est très faible. »
Services
À une plus vaste échelle, un des exemples bien connus et les plus souvent cités de modèle économique open source, c'est Red Hat, l'entreprise dont nous avons déjà parlé, qui propose une assistance, des sessions de formation et autres services à des entreprises qui utilisent Linux. Red Hat a été fondée en 1993, il s'agit d'une entreprise cotée en bourse avec un chiffre d'affaires déclaré de 2 milliards de dollars par an.
Bien que Red Hat ait connu un succès fantastique d'un point de vue financier, nombreux sont ceux qui soulignent qu'il s'agit d'une anomalie qui n'aura pas de lendemains. Red Hat a bénéficié de l'avantage du premier arrivé dans son domaine technologique. Matt Asay, un journaliste spécialisé en open source, a remarqué que Red Hat utilise un ensemble unique de licences et brevets pour protéger ses parts de marché. Asay, qui auparavant était un fervent défenseur des entreprises open source, est maintenant persuadé que certaines licences propriétaires sont nécessaires pour faire sérieusement des affaires. Matthew Aslet du 451 Group, un organisme de recherche, a découvert lui aussi que la plupart des entreprises open source qui réussissent utilisent en fait un type ou un autre de licence commerciale.
Docker, déjà mentionné plus haut, est un projet open source qui aide les applications à fonctionner efficacement. C'est l'exemple le plus récent d'entreprise qui s'inspire de ce modèle. Docker a levé 180 millions de dollars en capital-risque auprès d'investisseurs, avec une valorisation d'un milliard de dollars de la part d'investisseurs privés. Comme sa part de marché s'est accrue, Docker a commencé à proposer des services d'assistance au niveau des entreprises. Mais sans solides revenus, Docker pourrait n'être qu'un exemple de plus de capital-risque qui fait un investissement dans une entreprise d'infrastructure leader sur son marché, mais qui réalise des pertes.
À petite échelle, beaucoup de développeurs proposent des services de consultants pour pouvoir financer leur travail. Hoodie [6] est un framework poids plume qui repose sur Node et qui a réussi dans les services de consultants.
Hoodie lui-même est un projet open source. Plusieurs mainteneurs gagnent leur vie grâce à la boutique de l'entreprise, Neighbourhoodie, qui propose des services de développement logiciel. Bien que Neighbourhoodie se spécialise dans le framework de Hoodie, ce dernier est encore un projet plutôt jeune, de sorte que certaines parties de son travail proviennent de pojets qui ne sont pas lié à Hoodie. Dans le cas de Hoodie, le modèle de services choisi est censé payer le salaire de plusieurs mainteneurs, plutôt que de viser une stratégie d'entreprise de l'échelle de Red Hat.
Le conseil est une option viable pour les développeurs indépendants, s'il y a suffisamment de gens qui utilisent le projet qui sont d'accord et ont assez d'argent pour payer de l'aide supplémentaire. Mais à petite échelle, cela peut aussi les empêcher d'améliorer le projet lui-même, puisque les deux personnes au plus qui le maintiennent passent désormais leur temps à développer leur affaire et à fournir des services qui peuvent ou non être en accord avec les besoins du projet en termes de maintenance.
Aspirer à une activité de consultant peut aussi entrer en contradiction avec l'objectif de rendre le produit facile à utiliser et à appréhender, ce qui est bien dans l'esprit de l'open source. Twisted, la bibliothèque Python déjà citée, a mentionné un témoignage plein d'humour de l'un de ses utilisateurs, une entreprise nommée Mailman : « Les gars, vous avez un gros problème, parce que c'était vraiment trop facile ! Comment vous comptez vous faire un paquet d'argent juste avec du conseil ? :) »
En fin de compte, le « modèle économique » pour un projet open source n'est pas très différent du simple travail indépendant.
Licences payantes
Certains développeurs ont l'impression que mettre les projets sous licence serait une solution au moins partielle aux problèmes de financement de l'open source. Si les projets open source sont fortement utilisés, pourquoi ne pas les facturer ? Ces « licences payantes » ne sont techniquement pas des licences open source, selon la définition de l'open source Initiative [7]. Il s'agit plutôt d'initiatives qui tentent d'apporter un équilibre entre le besoin très concret de travail rémunéré et le désir de rendre le code accessible au public. Ce type de code peut être appelé « à source visible » ou « à source disponible ». Fair Source, par exemple, se décrit lui-même comme « [offrant] certains des avantages de l'open source tout en préservant la possibilité de faire payer pour le logiciel. »
La licence Fair Source [8] fut créée en novembre 2015 par une entreprise appelée Sourcegraph pour répondre au besoin de licence payante. Les termes de la licence ont été rédigés par Heather Meeker, un juriste qui a également travaillé dans l'équipe principale de la Mozilla Public License v2.0. Avec la licence Fair Source, on peut librement consulter, télécharger, exécuter et modifier le code, jusqu'à un certain nombre d'utilisateurs par organisation. Une fois cette limite dépassée, l'organisation doit payer un forfait de licence, dont le montant est déterminé par l'éditeur. En d'autres termes, le code Fair Source est gratuit pour un usage personnel et pour les PME, mais fournit une base légale pour facturer les cas de plus gros usages commerciaux.
L'annonce par Sourcegraph de la création de la licence Fair Source, qu'ils utilisent maintenant eux-mêmes, a provoqué un débat animé sur la monétisation de l'open source. (Il est à noter qu'un mouvement similaire autour du « shareware », logiciel propriétaire gratuit, avait émergé avec un certain succès populaire dans les années 1980).
Mike Perham, l'un des mainteneurs de Sidekiq, un outil populaire pour le développement en Ruby, a aussi récemment suggéré aux contributeurs et contributrices open source d'utiliser une « licence duale » pour monétiser leur travail, faisant payer les entreprises l'accès à une licence MIT permissive plutôt qu'une licence AGPL plus restrictive qui impose l'attribution. Sa théorie est qu'en faisant d'AGPL la licence par défaut, « les entreprises vont payer pour l'éviter. »
Pour justifier cette idée, Perham a rappelé à son public :
« Souvenez-vous : logiciel open source ne signifie pas logiciel gratuit. Ce n'est pas parce que l'on peut consulter la source sur GitHub que tout le monde peut l'utiliser et en faire n'importe quoi. Il n'y a aucune raison pour laquelle vous ne pourriez pas donner l'accès à votre code mais aussi faire payer pour son utilisation. Tant que vous possédez le code, vous avez le droit d'y attribuer la licence que vous voulez.
... [La] réalité, c'est que la plupart des petits projets open source dépendent d'une seule personne qui fait 95 % du travail. Si c'est votre cas, soyez reconnaissants envers les gens qui vous aident gratuitement mais ne vous sentez pas coupable de garder 100 % du revenu. »
Faire payer les entreprises offre une autre possibilité aux développeurs et développeuses qui souhaitent poursuivre leur travail, en particulier s'il n'y a qu'une ou deux personnes pour maintenir un projet actif. Cependant, tous les projets ne peuvent pas faire payer pour le travail fourni, en particulier les projets plus vieux, ou les projets d'infrastructure qui ressemblent plus à des biens publics qu'à des produits de consommation, comme les langages de programmation.
Même si les licences payantes peuvent fonctionner pour certains scénarios, ce modèle est aussi pour beaucoup en opposition avec l'énorme valeur sociale offerte par l'open source, qui suggère que lorsque le logiciel est libre, l'innovation suit.
L'objectif ne devrait pas être le retour à une société qui repose sur les logiciels fermés, où le progrès et la créativité sont limités, mais de soutenir de façon durable un écosystème public dans lequel le logiciel peut être créé et distribué librement.
Des mécènes pour les projets open source
Chaque semaine, l'équipe Framalang vous propose la traduction d'un chapitre de Roads and Bridges de Nadia Eghbal, une enquête fouillée qui explore les problématiques des infrastructures numériques, et en particulier leur intrication avec l'écosystème open source.
Après avoir exploré dans le précédent chapitre différents types de modèles économiques adaptés aux projets open source (retrouvez ici tous les chapitres antérieurs), l'auteure examine ici les cas de projets s'appuyant sur les dons ou le mécénat : du financement participatif au soutien institutionnalisé d'une entreprise, elle analyse les avantages et les limites de chaque solution, et livre les témoignages de nombreux porteurs de projets ou contributeurs qui relatent leur expérience au coeur de projets aussi divers qu'OpenSSL, jQuery ou encore Node.js.
Image de Rocío Lara (CC BY-SA 2.0) [9]
Trouver des mécènes ou des donateurs pour financer un projet d'infrastructure
La deuxième option pour financer des projets d'infrastructure numérique consiste à trouver des mécènes ou des donateurs. Il s'agit d'une pratique courante dans les cas de figure suivants :
- Il n'existe pas de demande client facturable pour les services proposés par le projet.
- Rendre l'accès payant empêcherait l'adoption (on ne pourrait pas, par exemple, faire payer l'utilisation d'un langage de programmation comme Python, car personne ne l'utiliserait ; ce serait comme si parler anglais étant payant).
- Le projet n'a pas les moyens de financer des emplois rémunérés, ou bien il n'y a pas de volonté de la part du développeur de s'occuper des questions commerciales.
- La neutralité et le refus de la commercialisation sont considérés comme des principes importants en termes de gouvernance.
Dans ce type de situation, un porteur de projet cherchera des mécènes qui croient en la valeur de son travail et qui sont disposés à le soutenir financièrement. À l'heure actuelle, il existe deux sources principales de financement : les entreprises de logiciel et les autres développeurs.
Le financement participatif
Certains travaux de développement obtiennent des fonds grâce à des campagnes de financement participatif (« crowdfunding ») via des plates-formes telles que Kickstarter ou Indiegogo. Bountysource, le site de récompenses dont nous parlions dans un chapitre précédent, possède également une plate-forme appelée Salt dédiée au financement participatif de projets open source.
Andrew Godwin, un développeur du noyau Django résidant à Londres, a ainsi réussi à récolter sur Kickstarter 17 952 £ (environ 21 000 €) de la part de 507 contributeurs, afin de financer des travaux de base de données pour Django. Le projet a été entièrement financé en moins de quatre heures.
Pour expliquer sa décision de lever des fonds pour un projet open source, Godwin écrit :
« Une quantité importante de code open source est écrit gratuitement. Cependant, mon temps libre est limité. Je dispose actuellement d'une seule journée libre par semaine pour travailler, et j'adorerais la consacrer à l'amélioration de Django, plutôt qu'à du conseil ou à de la sous-traitance.
L'objectif est double : d'une part, garantir au projet un temps de travail conséquent et au moins 80 heures environ de temps de codage ; et d'autre part prouver au monde que les logiciels open source peuvent réellement rémunérer le temps de travail des développeurs. »
À l'instar des récompenses, le financement participatif s'avère utile pour financer de nouvelles fonctionnalités, ou des développements aboutissant à un résultat clair et tangible. Par ailleurs, le financement participatif a moins d'effets pervers que les récompenses, notamment parce qu'organiser une campagne de financement demande plus d'efforts que de poster une offre de récompense, et parce que le succès du financement repose en grande partie sur la confiance qu'a le public dans la capacité du porteur de projet à réaliser le travail annoncé. Dans le cas de Godwin, il était l'un des principaux contributeurs au projet Django depuis six ans et était largement reconnu dans la communauté.
Toutefois, le financement participatif ne répond pas à la nécessité de financer les frais de fonctionnement et les frais généraux. Ce n'est pas une source de capital régulière. En outre, planifier et mettre en œuvre une campagne de financement participatif demande à chaque fois un investissement important en temps et en énergie. Enfin, les donateurs pour ces projets sont souvent eux-mêmes des développeurs ou des petites entreprises – et un porteur de projet ne peut pas éternellement aller toquer à la même porte pour financer ses projets.
Avec le recul, Godwin a commenté sa propre expérience :
« Je ne suis pas sûr que le financement participatif soit totalement compatible avec le développement open source en général ; non seulement c'est un apport ponctuel, mais en plus l'idée de rétribution est souvent inadéquate car elle nécessite de promettre quelque chose que l'on puisse garantir et décrire a priori.
S'en remettre uniquement à la bonne volonté du public, cela ne fonctionnera pas. On risque de finir par s'appuyer de manière disproportionnée sur des développeurs, indépendants ou non, à un niveau personnel – et je ne pense pas que ce soit viable. »
À côté des campagnes de financement participatif, plusieurs plates-formes ont émergé pour encourager la pratique du « pourboire » (tipping en anglais) pour les contributeurs open source : cela consiste à verser une petite somme de revenu régulier à un contributeur, en signe de soutien à son travail. Deux plates-formes populaires se distinguent : Patreon (qui ne se limite pas exclusivement aux contributeurs open source) et Gratipay (qui tend à fédérer une communauté plus technique).
L'idée d'un revenu régulier est alléchante, mais souffre de certains problèmes communs avec le financement participatif. On remarque notamment que les parrains (patrons ou tippers en anglais) sont souvent eux-mêmes des développeurs, avec une quantité limitée de capital à se promettre les uns aux autres. Les dons ont généralement la réputation de pouvoir financer une bière, mais pas un loyer. Gratipay rassemble 122 équipes sur sa plate-forme, qui reçoivent collectivement 1 000 $ par semaine, ce qui signifie qu'un projet touche en moyenne moins de 40 $ par mois.
Même les très gros projets tels que OpenSSL ne généraient que 2 000 $ de dons annuels avant la faille Heartbleed. Comme expliqué précédemment, après Heartbleed, Steve Marquess, membre de l'équipe, a remarqué « un déferlement de soutien de la part de la base de la communauté OpenSSL » : la première vague de dons a rassemblé environ 200 donateurs pour un total de 9 000 $.
Marquess a remercié la communauté pour son soutien mais a également ajouté :
« Même si ces donations continuent à arriver au même rythme indéfiniment (ce ne sera pas le cas), et même si chaque centime de ces dons allait directement aux membres de l'équipe OpenSSL, nous serions encore loin de ce qu'il faudrait pour financer correctement le niveau de main-d'œuvre humaine nécessaire à la maintenance d'un projet aussi complexe et aussi crucial. Même s'il est vrai que le projet "appartient au peuple", il ne serait ni réaliste ni correct d'attendre de quelques centaines, ou même de quelques milliers d'individus seulement, qu'ils le financent à eux seuls. Ceux qui devraient apporter les vraies ressources, ce sont les entreprises lucratives et les gouvernements qui utilisent OpenSSL massivement et qui le considèrent comme un acquis. »
(À l'appui de l'argument de Marquess, les dons de la part des entreprises furent par la suite plus importants, les sociétés ayant davantage à donner que les particuliers. La plus grosse donation provint d'un fabricant de téléphone chinois, Smartisan, pour un montant de 160 000 $. Depuis, Smartisan a continué de faire des dons substantiels au projet OpenSSL.)
Au bout du compte, la réalité est la suivante : il y a trop de projets, tous qualitatifs ou cruciaux à leur manière, et pas assez de donateurs, pour que la communauté technique (entreprises ou individus) soit en mesure de prêter attention et de contribuer significativement à chacun d'eux.
Le mécénat d'entreprises pour les projets d'infrastructure
À plus grande échelle, dans certains cas, la valeur d'un projet devient si largement reconnue qu'une entreprise finit par recruter un contributeur pour travailler à plein temps à son développement.
John Resig est l'auteur de jQuery, une bibliothèque de programmation JavaScript qui est utilisée par près des 2/3 du million de sites web les plus visités au monde. John Resig a développé et publié jQuery en 2006, sous la forme d'un projet personnel. Il a rejoint Mozilla en 2007 en tant que développeur évangéliste, se spécialisant notamment dans les bibliothèques JavaScript.
La popularité de jQuery allant croissante, il est devenu clair qu'en plus des aspects liés au développement technique, il allait falloir formaliser certains aspects liés à la gouvernance du projet. Mozilla a alors proposé à John de travailler à plein temps sur jQuery entre 2009 et 2011, ce qu'il a fait.
À propos de cette expérience, John Resig a écrit :
« Pendant l'année et demi qui vient de s'écouler, Mozilla m'a permis de travailler à plein temps sur jQuery. Cela a abouti à la publication de 9 versions de jQuery... et à une amélioration drastique de l'organisation du projet (nous appartenons désormais à l'organisation à but non lucratif Software Freedom Conservancy, nous avons des réunions d'équipe régulières, des votes publics, fournissons des états des lieux publics et encourageons activement la participation au projet). Heureusement, le projet jQuery se poursuit sans encombre à l'heure actuelle, ce qui me permet de réduire mon implication à un niveau plus raisonnable et de participer à d'autres travaux de développement. »
Après avoir passé du temps chez Mozilla pour donner à jQuery le support organisationnel dont il avait besoin, John a annoncé qu'il rejoindrait la Khan Academy afin de se concentrer sur de nouveaux projets.
Cory Benfield, développeur Python, a suivi un chemin similaire. Après avoir contribué à plusieurs projets open source sur son temps libre, il est devenu un développeur-clé pour une bibliothèque essentielle de Python intitulée Requests. Cory Benfield note que :
« Cette bibliothèque a une importance comparable à celle de Django, dans la mesure où les deux sont des "infrastructures critiques" pour les développeurs Python. Et pourtant, avant que j'arrive sur le projet, elle était essentiellement maintenue par une seule personne. »
Benfield estime qu'il a travaillé bénévolement sur le projet environ 12 heures par semaine pendant presque quatre ans, en plus de son travail à plein temps. Personne n'était payé pour travailler sur Requests.
Pendant ce temps, HP embauchait un employé, Donald Stufft, pour se consacrer spécifiquement aux projets en rapport avec Python, un langage qu'il considère comme indispensable à ses logiciels. (Donald est le développeur cité précédemment qui est payé à plein temps pour travailler sur le packaging Python). Donald a alors convaincu son supérieur d'embaucher Cory pour qu'il travaille à temps plein sur des projets Python. Il y travaille toujours.
Les entreprises sont des acteurs tout désignés pour soutenir financièrement les projets bénévoles qu'elles considèrent comme indispensables à leurs activités, et quand des cas comme ceux de John Resig ou de Cory Benfield surviennent, ils sont chaleureusement accueillis. Cependant, il y a des complications.
Premièrement, aucune entreprise n'est obligée d'embaucher quelqu'un pour travailler sur des projets en demande de soutien ; ces embauches ont tendance à advenir par hasard de la part de mécènes bienveillants. Et même une fois qu'un employé est embauché, il y a toujours la possibilité de perdre ce financement, notamment parce que l'employé ne contribue pas directement au résultat net de l'entreprise. Une telle situation est particulièrement périlleuse si la viabilité d'un projet dépend entièrement d'un seul contributeur employé à plein temps. Dans le cas de Requests, Cory est le seul contributeur à plein temps (on compte deux autres contributeurs à temps partiel, Ian Cordasco et Kenneth Reitz).
Une telle situation s'est déjà produite dans le cas de « rvm », un composant critique de l'infrastructure Ruby. Michal Papis, son auteur principal, a été engagé par Engine Yard entre 2011 et 2013 pour soutenir le développement de rvm. Mais quand ce parrainage s'est terminé, Papis a dû lancer une campagne de financement participatif pour continuer de financer le développement de rvm.
Le problème, c'est que cela ne concernait pas seulement rvm. Engine Yard avait embauché plusieurs mainteneurs de projets d'infrastructure Ruby, qui travaillaient notamment sur JRuby, Ruby on Rails 3 et bundler. Quand les responsables d'Engine Yard ont été obligés de faire le choix réaliste qui s'imposait pour la viabilité de leur entreprise, c'est-à-dire réduire leur soutien financier, tous ces projets ont perdu leurs mainteneurs à temps plein, et presque tous en même temps.
L'une des autres craintes est qu'une entreprise unique finisse par avoir une influence disproportionnée sur un projet, puisqu'elle en est de facto le seul mécène. Cory Benfield note également que le contributeur ou la contributrice lui-même peut avoir une influence disproportionnée sur le projet, puisqu'il ou elle dispose de beaucoup plus de temps que les autres pour faire des contributions. De fait, une telle décision peut même être prise par une entreprise et un mainteneur, sans consulter le reste de la communauté du projet.
On peut en voir un exemple avec le cas d'Express.js, un framework important pour l'écosystème Node.js. Quand l'auteur du projet a décidé de passer à autre chose, il en a transféré les actifs (en particulier le dépôt du code source et le nom de domaine) à une société appelée StrongLoop dont les employés avaient accepté de continuer à maintenir le projet. Cependant StrongLoop n'a pas fourni le soutien qu'attendait la communauté, et comme les employés de StrongLoop étaient les seuls à avoir un accès administrateur, il est devenu difficile pour la communauté de faire des contributions. Doug Wilson, l'un des principaux mainteneurs (non-affilié à StrongLoop), disposait encore d'un accès commit et a continué de traiter la charge de travail du projet, essayant tant bien que mal de tout gérer à lui seul.
Après l'acquisition de StrongLoop par IBM, Doug déclara que StrongLoop avait bel et bien tué la communauté des contributeurs.
« Au moment où on est passé à StrongLoop, il y avait des membres actifs comme @Fishrock123 qui travaillaient à créer... de la documentation. Et puis tout à coup, je me suis retrouvé tout seul à faire ça sur mon temps libre alors que les demandes de support ne faisaient que se multiplier... et pendant tout ce temps, je me suis tué à la tâche, je me suis engagé pour le compte StrongLoop. Quoi qu'il arrive, jamais plus je ne contribuerai à aucun dépôt logiciel appartenant à StrongLoop. »
Finalement, le projet Express.js a été transféré de StrongLoop à la fondation Node.js, qui aide à piloter des projets appartenant à l'écosystème technologique Node.js.
En revanche, pour les projets open source qui ont davantage d'ampleur et de notoriété, il n'est pas rare d'embaucher des développeurs. La Fondation Linux a fait savoir, par exemple, que 80 % du développement du noyau Linux est effectué par des développeurs rémunérés pour leur travail. La fondation Linux emploie également des Fellows [« compagnons » selon un titre consacré, NdT] payés pour travailler à plein temps sur les projets d'infrastructure, notamment Greg Kroah-Hartman, un développeur du noyau Linux, et Linus Torvalds lui-même, le créateur de Linux.
Nadia Eghbal
https://framablog.org/2016/11/22/des-routes-et-des-ponts-11-les-defis-de-la-maintenance/
https://framablog.org/2016/11/28/des-routes-et-des-ponts-12-en-quete-de-modele-economique/
https://framablog.org/2016/12/05/des-routes-et-des-ponts-13-des-mecenes-pour-les-projets-open-source/
Cet article est sous licence Creative Commons (selon la juridiction française = Paternité - Pas de Modification).
http://creativecommons.org/licenses/by-nd/2.0/fr/
NOTES
[1] https://fordfoundcontent.blob.core.windows.net/media/2976/roads-and-bridges-the-unseen-labor-behind-our-digital-infrastructure.pdf
[2] https://www.flickr.com/photos/hiyori13/
[3] https://fr.wikipedia.org/wiki/Cisgenre
[4] http://www.ashedryden.com/blog/the-ethics-of-unpaid-labor-and-the-oss-community
[5] https://www.bountysource.com/
[6] http://docs.hood.ie/fr/
[7] https://opensource.org/
[8] https://fair.io/
[9] https://www.flickr.com/photos/analogica/8661000014/
|