Un autre article sur le sujet dont j’avais parlé ici : https://lehollandaisvolant.net/?d=2021/12/12/15/01/11-log4shell-soutenez-les-dev-dont-vous-utilisez-le-travail

Il apporte d’autres nuances, et les sources qu’il liste en apportent encore plus (mon article y est également listé, d’ailleurs).

L’un des points concerne le fait qu’un logiciel libre sur lequel on peut baser son propre travail n’est pas forcément maintenu par un gus dans son garage qui a faim.
Et c’est vrai : certains logiciels libres sont maintenus à titre professionnels.
Google maintient (et finance) Chromium par exemple. Apple maintient CUPS (Common Unix Printing System : c’est le système qui permet à Mac OS, Linux, Android… d’imprimer des fichiers). Tout le monde profite du travail de Google et Apple dans ces conditions. C’est une bonne chose.

Est-ce que, moi, qui utilise CUPS, ou encore Canonical (qui édite Ubuntu, une distro Linux) devraient payer Apple pour ça ? Non.

Personne ne doit rien.

Stéphane Bortzmeyer le dit parfaitement : le logiciel est libre, on fait ce qu’on veut : payer, pas payer. Ce n’est pas un dû.

Heu… Mais du coup… ?

En fait, mon article, et le post d’XKCD (je pense ; et bien d’autres articles) vont dans le sens où, si l’on utilise un outil libre, la première des choses est de s’assurer que l’outil en question est fiable, solide et pérenne.
Si je construit un empire grâce à un outil, c’est donc dans mon intérêt, surtout si c’est une brique essentielle à ma rentabilité.

Pour ça, plusieurs solutions : soit je paye quelqu’un de mon entreprise pour s’occuper de ça. Soit je contacte le dev du projet et le lui demande en échange d’une compensation.

Dans le cas présent de Log4Shell, on était dans le cas où le projet était maintenu par trois personnes sur leur temps libre (donc qui avaient autre chose à faire à côté)..

Or, si je voulais que ce projet soit plus vivant, sans que je veuille m’en occuper moi-même, j’aurais commencé par contacter ces personnes pour leur demander s’ils voulaient bosser un peu plus sur le projet en échange d’un soutien financier. Je vois ça plus comme du donnant-donnant qui soit avant tout dans mon propre intérêt. Ainsi, en motivant ces personnes, davantage de travail est fait sur cet outil, et mon empire à moi s’en trouve consolidé et sécurisé.

Bien-sûr si le mainteneur s’en fiche, ne veut pas, a définitivement abandonné son code, je n’ai d’autre choix que de bosser moi-même dessus (le code étant libre, je peux).

Dans le cas de CUPS ou Chromium, la question ne se pose pas tellement : ce sont deux là deux projets très actifs maintenues par deux des plus grosses boîtes de la planète. Ils n’ont pas besoin de soutien et je peux leur faire raisonnablement confiance sur la fiabilité de leur projet.

Bref, ça revient à un de mes messages dans mon article : profiter du libre c’est bien mais c’est une chose. En profiter et en dépendre complètement, c’en est une autre.
Et comme le code libre est généralement explicitement proposé « as is », c’est à dire « tel quel », s’il est plein de bug et que vous perdez du pognon à cause de ça, c’est bien votre problème, et pas la faute des mainteneurs.

Et c’est exactement ce qui s’est passé ici : tout le monde a repris un code contenant un bug particulièrement critique. Personne n’a pensé a regarder qui maintient le projet et demander aux personnes derrière de réaliser un audit complet. Cette demande aurait été, naturellement ou non, accompagné d’un soutient financier (comme il est d’usage dans le cas d’une demande, en fait).

~

L’idée selon laquelle tous les dév du libre sont pauvres et s’attendent à un paiement est fausse, évidemment (et personne n’a parlé de ça).

Il n’empêche pas que l’usage est, parfois, de contribuer à ceux qui nous ont aidé. Perso ça ne me semble pas absurde, surtout quand on en a les moyens, en particulier quand le projet met explicitement des liens vers des méthodes de dons ou un lien « soutenir ».

Framasoft, Mozilla, Wikipédia… mais aussi certains blogs, chaînes youtube le font beaucoup. C’est un modèle économique tout à fait valable.
Certains projets disent d’ailleurs clairement qu’ils vivent grâce à ça, et que sans, ils arrêtent tout. Et ça aussi, c’est valide et compréhensible.

Et là, ça rejoint cet appel lancé par tout le monde autour de la toile : si vous en avez les moyens, pensez à soutenir les autres. Surtout si vous utilisez leur boulot. Ci-dessus j’explique que c’est aussi dans votre intérêt. Plus généralement, je dirais que c’est une forme de reconnaissance bienvenue.

— (permalink)