Open source
Logiciel dont le code source est librement accessible, modifiable et redistribuable par quiconque, sous une licence ouverte reconnue (MIT, GPL, Apache).
L'open source désigne un modèle de développement logiciel dans lequel le code source est librement accessible, modifiable et redistribuable par quiconque sous les termes d'une licence ouverte reconnue (MIT, GPL, Apache, BSD). 96% des applications modernes intègrent des composants open source, et GitHub héberge plus de 420 millions de repositories. L'écosystème open source représente une valeur estimée à 8.8 trillions USD selon Harvard Business School.
Définition technique
Licences et gouvernance
Les licences open source se répartissent en deux familles. Les licences permissives (MIT, Apache 2.0, BSD) autorisent la réutilisation dans des logiciels propriétaires sans obligation de redistribuer les modifications. Les licences copyleft (GPL, AGPL, LGPL) imposent que tout logiciel dérivé soit distribué sous la même licence, garantissant que le code reste ouvert.
La gouvernance varie selon les projets : BDFL (Benevolent Dictator for Life) comme Linus Torvalds pour Linux, comité de pilotage élu (Rust, Node.js), ou fondation structurée (Apache, CNCF). Les projets à développeur unique (bus factor = 1) présentent un risque de continuité, particulièrement critique quand le projet devient une dépendance de production pour des milliers d'entreprises.
Contribution et communauté
Le workflow standard repose sur le fork-and-pull-request : un contributeur fork le repository, crée une branche, propose ses modifications via pull request, qui est revue et mergée par les mainteneurs. Les métriques communautaires incluent les étoiles GitHub (popularité), les forks (utilisation active), les issues ouvertes/fermées (réactivité), et le nombre de contributeurs (bus factor).
Enjeux actuels
Sécurité de la supply chain
La supply chain open source est devenue un vecteur d'attaque majeur. L'incident xz utils (2024) a révélé qu'un attaquant patient peut devenir mainteneur d'un projet critique et y injecter une backdoor. Les 824 extensions malveillantes du ClawHub d'OpenClaw illustrent le risque des marketplaces communautaires non modérées. Les outils SCA (Software Composition Analysis) comme Snyk, Dependabot et Renovate automatisent la détection de dépendances vulnérables.
Open source et vibe coding
Le vibe coding accélère la création de projets open source : un développeur seul peut lancer un projet complet en quelques jours et atteindre une adoption massive. Le revers est que la maturité sécurité ne suit pas la croissance. OpenClaw est passé de 0 à 200 000 étoiles avec 10 CVE critiques, 135 000 instances exposées et aucun programme de bug bounty. En due diligence, la popularité d'un projet open source (étoiles, forks) ne peut plus être considérée comme un proxy de qualité.
Standards et spécifications
Open Source Definition (OSD)
Les 10 critères définissant ce qu'est un logiciel open source, maintenus par l'OSI
SPDX (Software Package Data Exchange)
Standard ISO pour identifier et communiquer les licences open source dans les projets
OpenSSF Scorecard
Évaluation automatisée des pratiques de sécurité des projets open source
Questions fréquentes
Quelle est la différence entre open source et logiciel libre ?
Le logiciel libre (free software) est un concept philosophique défini par la Free Software Foundation (Richard Stallman, 1985) autour de quatre libertés : utiliser, étudier, modifier, redistribuer. L'open source est un concept pragmatique défini par l'Open Source Initiative (1998) avec des critères techniques similaires mais sans la dimension éthique.
En pratique, la quasi-totalité des licences libres sont aussi open source et vice-versa. La distinction est idéologique : le mouvement libre considère la liberté comme un impératif moral, l'open source comme un modèle de développement efficace. Les licences courantes (MIT, Apache 2.0, GPL) sont reconnues par les deux mouvements.
L'open source est-il sûr ?
Le mythe « beaucoup d'yeux rendent les bugs superficiels » (loi de Linus) a ses limites. La faille Log4Shell (CVE-2021-44228) est restée dans un composant critique utilisé par des milliers d'entreprises pendant 8 ans avant d'être découverte. Le rapport Synopsys 2024 montre que 84% des codebases contiennent au moins une vulnérabilité open source connue.
La sécurité open source dépend de la maturité du projet : contributeurs actifs, processus de revue de code, programme de bug bounty, temps de correction des CVE. OpenClaw illustre le risque d'un projet populaire (200 000 étoiles) mais immature en sécurité (10 CVE critiques, pas de bug bounty). L'OpenSSF Scorecard évalue ces pratiques automatiquement.
Quels sont les modèles économiques de l'open source ?
Les principaux modèles sont : open core (version communautaire gratuite + fonctionnalités premium payantes, ex : GitLab), SaaS managé (hébergement et maintenance du logiciel, ex : MongoDB Atlas, Elastic Cloud), support et consulting (Red Hat, 35 milliards USD rachat par IBM), et dual licensing (licence open source + licence commerciale, ex : MySQL).
Les fondations (Linux Foundation, Apache Foundation, CNCF) soutiennent les projets critiques par financement mutualisé. Le marché des services open source atteint 33 milliards USD en 2024. Le modèle reste fragile pour les petits projets maintenus par des bénévoles, comme l'a illustré la faille xz utils (2024).