# Open source

> Logiciel dont le code source est librement accessible, modifiable et redistribuable par quiconque, sous une licence ouverte reconnue (MIT, GPL, Apache).

- **Catégorie** : Technique
- **URL** : https://www.romaindelfosse.fr/glossary/open-source/

---

L'**open source** désigne un modèle de développement logiciel dans lequel le code source est librement accessible, modifiable et redistribuable par quiconque sous les termes d'une licence ouverte reconnue (MIT, GPL, Apache, BSD). 96% des applications modernes intègrent des composants open source, et GitHub héberge plus de 420 millions de repositories. L'écosystème open source représente une valeur estimée à 8.8 trillions USD selon Harvard Business School.

## Définition technique

### Licences et gouvernance

Les licences open source se répartissent en deux familles. Les licences permissives (MIT, Apache 2.0, BSD) autorisent la réutilisation dans des logiciels propriétaires sans obligation de redistribuer les modifications. Les licences copyleft (GPL, AGPL, LGPL) imposent que tout logiciel dérivé soit distribué sous la même licence, garantissant que le code reste ouvert.

La gouvernance varie selon les projets : BDFL (Benevolent Dictator for Life) comme Linus Torvalds pour Linux, comité de pilotage élu (Rust, Node.js), ou fondation structurée (Apache, CNCF). Les projets à développeur unique (bus factor = 1) présentent un risque de continuité, particulièrement critique quand le projet devient une dépendance de production pour des milliers d'entreprises.

### Contribution et communauté

Le workflow standard repose sur le fork-and-pull-request : un contributeur fork le repository, crée une branche, propose ses modifications via pull request, qui est revue et mergée par les mainteneurs. Les métriques communautaires incluent les étoiles GitHub (popularité), les forks (utilisation active), les issues ouvertes/fermées (réactivité), et le nombre de contributeurs (bus factor).

## Enjeux actuels

### Sécurité de la supply chain

La supply chain open source est devenue un vecteur d'attaque majeur. L'incident xz utils (2024) a révélé qu'un attaquant patient peut devenir mainteneur d'un projet critique et y injecter une backdoor. Les 824 extensions malveillantes du ClawHub d'OpenClaw illustrent le risque des marketplaces communautaires non modérées. Les outils SCA (Software Composition Analysis) comme Snyk, Dependabot et Renovate automatisent la détection de dépendances vulnérables.

### Open source et vibe coding

Le vibe coding accélère la création de projets open source : un développeur seul peut lancer un projet complet en quelques jours et atteindre une adoption massive. Le revers est que la maturité sécurité ne suit pas la croissance. OpenClaw est passé de 0 à 200 000 étoiles avec 10 CVE critiques, 135 000 instances exposées et aucun programme de bug bounty. En due diligence, la popularité d'un projet open source (étoiles, forks) ne peut plus être considérée comme un proxy de qualité.


## Chiffres clés

- 96% des applications utilisent des composants open source *(Synopsys — Open Source Security and Risk Analysis Report — 2024)*

- GitHub héberge 420+ millions de repositories et 100+ millions de développeurs *(GitHub — Octoverse Report — 2024)*

- Le logiciel open source représente une valeur estimée à 8.8 trillions USD *(Harvard Business School — Value of Open Source Study — 2024)*


## Questions fréquentes

### Quelle est la différence entre open source et logiciel libre ?

Le logiciel libre (free software) est un concept philosophique défini par la Free Software Foundation (Richard Stallman, 1985) autour de quatre libertés : utiliser, étudier, modifier, redistribuer. L'open source est un concept pragmatique défini par l'Open Source Initiative (1998) avec des critères techniques similaires mais sans la dimension éthique.En pratique, la quasi-totalité des licences libres sont aussi open source et vice-versa. La distinction est idéologique : le mouvement libre considère la liberté comme un impératif moral, l'open source comme un modèle de développement efficace. Les licences courantes (MIT, Apache 2.0, GPL) sont reconnues par les deux mouvements.

### L&#39;open source est-il sûr ?

Le mythe « beaucoup d'yeux rendent les bugs superficiels » (loi de Linus) a ses limites. La faille Log4Shell (CVE-2021-44228) est restée dans un composant critique utilisé par des milliers d'entreprises pendant 8 ans avant d'être découverte. Le rapport Synopsys 2024 montre que 84% des codebases contiennent au moins une vulnérabilité open source connue.La sécurité open source dépend de la maturité du projet : contributeurs actifs, processus de revue de code, programme de bug bounty, temps de correction des CVE. OpenClaw illustre le risque d'un projet populaire (200 000 étoiles) mais immature en sécurité (10 CVE critiques, pas de bug bounty). L'OpenSSF Scorecard évalue ces pratiques automatiquement.

### Quels sont les modèles économiques de l&#39;open source ?

Les principaux modèles sont : open core (version communautaire gratuite + fonctionnalités premium payantes, ex : GitLab), SaaS managé (hébergement et maintenance du logiciel, ex : MongoDB Atlas, Elastic Cloud), support et consulting (Red Hat, 35 milliards USD rachat par IBM), et dual licensing (licence open source + licence commerciale, ex : MySQL).Les fondations (Linux Foundation, Apache Foundation, CNCF) soutiennent les projets critiques par financement mutualisé. Le marché des services open source atteint 33 milliards USD en 2024. Le modèle reste fragile pour les petits projets maintenus par des bénévoles, comme l'a illustré la faille xz utils (2024).


## Ressources

- [Open Source Initiative](https://opensource.org/?utm_source=romaindelfosse&amp;utm_medium=glossaire&amp;utm_campaign=open-source) — OSI

- [GitHub Octoverse](https://octoverse.github.com/?utm_source=romaindelfosse&amp;utm_medium=glossaire&amp;utm_campaign=open-source) — GitHub

- [OpenSSF (Open Source Security Foundation)](https://openssf.org/?utm_source=romaindelfosse&amp;utm_medium=glossaire&amp;utm_campaign=open-source) — Linux Foundation