© 2009-2012 Black Duck®, Know Your Code®, Ohloh®, SpikeSource®, Spike® et le logo Black Duck sont des marques déposées par Black Duck Software, Inc. aux Etats Unis et/ou dans d’autres pays. Koders™ est une marque déposée par Black Duck Software, Inc. Toutes les autres marques sont les propriétés de leurs titulaires respectifs. Tous Droits Réservés.

Guide à l’attention des juristes d’entreprise pour la

mise en place de politiques de gestion de l’open source

Comment réduire les risques pesant sur votre entreprise tout en facilitant le développement et la maintenance

de vos applications

ColleCtion de guides BlaCk duCk

Les juristes d’entreprise sont de plus en plus

souvent confrontés au même dilemme – comment

permettre à leurs équipes de développeurs de

mieux tirer parti des logiciels open source (OSS)

tout en préservant leur entreprise des risques liés

à leurs licences. Les logiciels open source sont

des logiciels dont le code source, lisible par l’être

humain, est diffusé sous certaines conditions de

licence. Les équipes de développement peuvent

utiliser, modifier et améliorer ces logiciels, et

peuvent les redistribuer sous leur forme originale

ou sous une forme modifiée. Les logiciels open

source sont généralement développés de manière

collaborative et publique et sont mis à disposition

des développeurs via Internet.

En plein ralentissement de l’économie, les

développeurs se doivent de réduire leurs budgets

tout en continuant de fournir des applications

logicielles innovantes permettant aux entreprises

d’améliorer leur productivité et de s’imposer

malgré un marché de plus en plus concurrentiel.

C’est la raison pour laquelle tant d’entreprises se

servent de l’open source pour monter leurs projets

logiciels, tout en consacrant moins de ressources

au développement.

A vrai dire, il y a déjà belle lurette que les

développeurs ne se privent pas pour utiliser

de l’open source. Cette utilisation a explosé

alors que les politiques d’entreprise et les

plateformes de gestion sont restées à la traîne.

L’adoption de l’open source a pris comme une

trainée de poudre, le groupe Gartner ayant par

exemple estimé que 85% des entreprises qu’il

a auditées utilisent de l’open source. On ne peut

raisonnablement attendre des chefs de projets

qu’ils soient des experts en conditions de licence

ou des juristes et avocats qu’ils perdent leur

temps à valider du code source ou à rechercher,

analyser et sélectionner du code open source utile

pour les applications de l’entreprise.

Pour permettre à une entreprise de profiter

pleinement de l’adoption de l’open source, ses

juristes doivent veiller à mettre des politiques

en place dans tous ses services pour évaluer

les risques liés à l’utilisation de logiciels open

source et déterminer quelles règles et procédures

permettront de protéger l’entreprise tout en

aidant les équipes de développement à atteindre

leurs objectifs commerciaux plus facilement. La

mission d’un service juridique est de protéger son

entreprise contre les risques – sans pour autant

mettre en place des politiques trop restrictives

handicapantes pour l’entreprise. Lorsqu’une

entreprise recourt à l’open source, ses juristes

doivent être en mesure de répondre à certaines

interrogations, telles que :

•Comment éviter les procès fondés sur des violations de licences open source ?

•Comment aider les équipes de développement à veiller au respect des conditions de licence – sans risquer de faire exploser le temps de travail du service juridique ou le budget alloué aux services de cabinets d’avocats externes ?

•Comment s’assurer que les logiciels développés par l’entreprise ne comportent pas de composants logiciels contrefaisants ?

1

•Quel type d’audit mettre en place dans le cadre de fusions et d’acquisitions pour vérifier la validité du code acquis par l’entreprise ?

•Comment réunir les informations nécessaires pour que la conformité de l’utilisation puisse être vérifiée par le service juridique, les développeurs et aux fins d’exportation ?

•Comment aider les équipes de développement de logiciels à tirer profit des avantages économiques de l’open source sans leur donner l’impression que les juristes entravent le développement ?

La limitation des risques liés aux logiciels open sourceAvec la crise économique que nous traversons,

l’aptitude à trouver, intégrer et gérer efficacement

des logiciels open source est en train de devenir

aussi importante pour l’entreprise que sa propre

capacité de développement. A l’heure actuelle,

des centaines de milliers de projets open source

– et des milliards de lignes de code open source

– peuvent facilement être téléchargés, alors

que la plupart des services juridiques manquent

de personnel pour veiller à la conformité aux

conditions de licence et protéger leur entreprise

des risques contentieux.

Pour ne pas s’exposer aux conséquences d’une

utilisation abusive de logiciels, la clé est de

développer des politiques et des procédures se

basant sur les bonnes pratiques applicables et

d’automatiser la gestion du code open source. Les

2

les responsables d’équipes de développement ont besoin d’outils automatisés pour gérer les risques et profiter des bénéfices de l’open source.

3

juristes doivent être en mesure de comprendre

les obligations issues des licences open source.

Ils doivent par ailleurs s’attacher à développer

des politiques transversales afin de protéger leur

entreprise des risques inhérents à d’éventuelles

violations de licences. Les entreprises peuvent

tirer d’importants bénéfices de l’utilisation d’open

source mais leurs services juridiques doivent, à

ces fins, veiller au développement de politiques

et de procédures protégeant l’entreprise et

permettant une utilisation à la fois efficace et

irréprochable des logiciels open source.

“Code libre” ne signifie pas “libre de toute

obligation” - l’open source est soumis à des

licences et des risques juridiques spécifiques et

parfois complexes qui, à défaut d’une gestion

adéquate, sont susceptibles de retarder, voire

d’interdire, le déploiement ou la fourniture de

logiciels. Une cour d’appel fédérale américaine

a récemment considéré, dans le cadre d’une

décision rendue dans l’affaire Jacobsen contre

Katzer, que Katzer avait abusivement utilisé

du code open source et devait de ce fait être

considéré comme responsable d’une contrefaçon

de droits d’auteur ainsi que d’un manquement

contractuel. Si cette affaire a permis de définir

un nouveau standard en matière d’application

de licences open source, elle a également

attiré l’attention des juristes d’entreprise sur

l’importance de gérer spécifiquement ces

ressources, alors que certains pensaient que leur

utilisation était totalement libre et sans contrainte.

Il est capital de se conformer aux conditions de

licence open source pertinentes pour prévenir les

risques de survenance de contentieux couteux

en temps et en argent. Si l’on considérait à

une époque que l’utilisation de l’open source

dépendait seulement de la validité de son

attribution entre développeurs et entreprises, elle

est aujourd’hui discutée devant les tribunaux. De

plus, la nouvelle médiatisation des problèmes de

licences open source peut nuire à la réputation

et aux relations extérieures des contrevenants.

Une mauvaise gestion de code open source

peut conduire à une dégradation d’image, à des

contrefaçons de droits d’auteurs, voire à une

interruption des livraisons, susceptibles d’être

dommageables pour la réputation de l’entreprise

et d’avoir une incidence immédiate sur les

revenus générés par un produit.

Diverses entreprises peuvent être citées à

titre d’exemples pour avoir dû répondre à des

allégations selon lesquelles elles auraient mal

encadré leur utilisation de code open source.

Diebold a été poursuivie pour violation de la

licence publique GNU, après avoir utilisé Linux

dans ses machines à voter sans respecter

les conditions de la GPL. L’image de Google a

été écornée à l’occasion du lancement de sa

plateforme mobile Android, à cause de failles de

sécurité répertoriées. Skype a pour sa part été

poursuivie pour une violation de la licence GPL

concernant un téléphone VoIP. Enfin, Verizon a

été poursuivie sur le fondement de la licence

4

applicable aux logiciels open source utilisés dans

ses routeurs sans fil.

Il est essentiel pour les entreprises de comprendre

et de respecter les exigences des licences open

source pour éviter les risques de détérioration

d’image et de contentieux. Les méthodes

manuelles de recherche, de sélection, de

monitoring et de validation de code open source

emportent une charge de travail ingérable pour

les services juridiques. L’automatisation est

fondamentale pour toute entreprise souhaitant

incorporer de l’open source dans ses propres

développements afin d’en réduire les coûts et

de gérer efficacement ses applications à chaque

étape de leur existence.

Se servir de l’automatisation pour renforcer la productivitéBlack Duck™ Software est le numéro un

mondial des fournisseurs de produits et services

permettant d’accélérer le développement de

logiciels grâce à une utilisation contrôlée de

code open source et de code tiers. Black Duck

permet aux entreprises de raccourcir leur délais

de commercialisation et de réduire leurs coûts

de développement et de maintenance, tout en

limitant les risques et difficultés inhérents à la

réutilisation de code open source, découlant par

exemple de ses conditions de licence, de failles de

sécurité et de la prolifération des versions.

Si l’open source offre d’incroyables opportunités

d’amélioration de la productivité, l’aptitude à

facilement trouver les meilleurs composants

open source et à les évaluer est essentielle. La

la mise en place de bonnes pratiquesLes solutions de Black Duck Software permettent aux juristes de collaborer étroitement avec les responsables du développement afin de mettre en place des bonnes pratiques tout en optimisant le développement et en rationalisant l’utilisation des ressources de l’entreprise. Voici quelques bonnes pratiques que vous pourrez mettre en place dans le cadre des politiques que vous définirez afin de protéger votre entreprise :

•Réutiliser les composants existants dans la mesure du possible

•Suivre et contrôler les évolutions des composants internes

•Contrôler la réutilisation des composants sensibles ou externes

•Vérifier chaque version compilée et chaque release

•Vérifier la conformité lors des transitions entre phases du projet

•Veiller à la traçabilité de l’utilisation de composants open source

•Contrôler l’utilisation des composants

•Analyser les composants logiciels avant de les acheter

5

base de connaissances Black Duck – qui assure

la veille de plus de 180.000 projets open source

– est la base de données relative aux logiciels

open source et à leurs licences la plus complète

du marché.

Les ingénieurs sont payés pour écrire, tester,

maintenir et améliorer du code. Ce ne sont

cependant pas des spécialistes du droit et il

ne faut donc pas s’attendre à ce qu’ils soient

capables de prendre des décisions commerciales

relatives à l’utilisation de code open source.

Le challenge consiste donc à encourager la

collaboration au sein de l’entreprise, sans pour

autant laisser les équipes de développement pieds

et poings liés. En effet, juristes et développeurs

ont bien souvent du mal à s’entendre.

La nature dynamique du développement de

logiciels nécessite que soit mis en place des

process automatisés prévoyant un équilibre

entre pouvoirs et contrepouvoirs et définissant

les modalités des arbitrages entre juristes et

ingénieurs. Pour l’entreprise, l’efficacité de

l’utilisation de l’open source dépend notamment

de sa capacité à faire de sa gestion une procédure

intégrée et transversale, plutôt que de se

contenter d’un développement purement linéaire.

Certaines techniques d’automatisation permettent

de rationaliser les process nécessaires pour

réussir l’amalgame entre des extraits de code

provenant de sources diverses. Les équipes de

développement peuvent ainsi analyser les risques

l’entreprise peut mettre en place des outils automatisés utiles à chaque étape de la vie des applications logicielles de l’entreprise.

SurveillanceSurveiller l’utilisation et

l’impact du code sur des applications complexes

RechercheRechercher du code à

utiliser dans les applications

SélectionChoisir du code sur la base de métadonnées pertinentes et des politiques en vigueur

ValidationValider en fonction des politiques en vigueur dans l’entreprise

CompilerCompiler le code validé à l’aide de vos outils habituels

VérificationVérifier que tout code

utilisé a été validé

6

en fonction des politiques et des règles définies

par les services juridiques.

Les juristes peuvent par ailleurs utiliser les

solutions de Black Duck pour s’assurer de

la conformité à d’éventuelles restrictions à

l’exportation, telles que les lois américaines

restreignant l’exportation de logiciels de

cryptographie. Black Duck propose la seule et

unique solution au monde conçue spécifiquement

pour faciliter ce type de vérification de conformité

pour les logiciels et les appareils électroniques

contenant des logiciels. Partout dans le monde,

des juristes font confiance aux solutions Black

Duck pour analyser leur code source et identifier

les éléments de cryptographie qu’il contient afin

de se mettre plus rapidement et facilement en

conformité avec la réglementation applicable à

leur exportation.

Les entreprises peuvent désormais se fier à des

systèmes automatisés pour économiser aux

juristes la fastidieuse tâche de conduire des audits

et analyses juridiques pour valider l’utilisation de

code open source. Il convient de faire collaborer

l’équipe juridique avec les équipes de sécurité,

de développement et autres responsables

concernés au sein de votre entreprise pour utiliser

les ressources open source conformément aux

politiques et procédures adoptées. Les juristes

pourront ainsi contribuer à une plus grande

transparence et permettre aux chefs de projets

d’utiliser du code open source sereinement.

un outil pour les fusions/acquisitionsVoxeo Corporation est une société concevant des applications vocales faciles à mettre en œuvre. Lorsqu’elle a voulu se développer en absorbant un développeur asiatique innovant, la direction a rapidement évalué la valeur de la base de code de la société cible. Le Vice-Président en charge de la Technique chez Voxeo, Daniel Polfer, explique : “Nous étions conscients que le droit de la propriété intellectuelle varie d’un pays à l’autre et nous souhaitions évaluer honnêtement le code de la société que nous souhaitions acheter afin de protéger notre investissement et de s’assurer de la valeur du code.” Vérifier le code à la main était inenvisageable, alors Voxeo s’est tournée vers le système d’analyse Black Duck Protex. Une équipe multidisciplinaire composée de juristes et de responsables techniques a analysé le code — et nous avons ensuite pu procéder à cette acquisition en toute confiance.

“Avant de signer le chèque, nous devions vérifier quels logiciels open source la société cible utilisait et de quelle manière elle les utilisait” ajoute Polfer. “Avant de finaliser la vente, nous avons pu minimiser nos risques en évaluant objectivement le code, en comprenant les problèmes de licences, et en veillant à ce que nous puissions utiliser le code dans nos propres produits sans risque. Nous avons pu constater que le vendeur s’était montré de bonne foi dans sa description du code. Protex nous a permis de nous protéger contre tout potentiel risque d’existence d’obligation imprévue. Cette vérification nous a finalement confortés dans notre choix et a permis d’entériner cette acquisition.”

7

Il est presque impossible de ne pas se perdre

dans le dédale des composants et licences

open source. Accomplir un tel travail à la main

relève de la gageure pour les services juridiques.

Heureusement, il est désormais possible de

simplifier cette tâche épuisante et chronophage

en automatisant la recherche, la sélection et la

validation de composant.

Vous pouvez vous fier à des outils reconnus

pour identifier d’éventuelles incompatibilités de

licences, mettre en évidence toute écart entre

les règles définies et la pratique en matière

d’utilisation de propriété intellectuelle et mettre

en place un dispositif de résolution des incidents.

Vous pourrez travailler en étroite collaboration

avec vos collègues du développement ou de la

sécurité pour définir des règles applicables à

la validation d’éléments logiciels, vérifier leur

conformité aux licences et régler tout problème

au plus tôt dans le cycle de développement –

avant que votre entreprise ne soit exposée au

moindre risque commercial. L’automatisation

réduit le nombre de tâches manuelles requises

par la planification, la création et la maintenance

de logiciels. Elle permet par ailleurs aux juristes

de protéger l’entreprise contre tout risque lié aux

licences tout en permettant un développement

plus efficace et productif.

Faire confiance à Black DuckOn ne peut pas raisonnablement attendre de

chaque entreprise qu’elle assure une veille du

gigantesque catalogue de code open source

disponible et qu’elle en actualise les métadonnées.

La base de données Black Duck, qui répertorie

plus de 180.000 produits émanant de plus de

4.000 sites, est régulièrement mise à jour avec

des dizaines de nouveaux produits. Black Duck

archive un nombre considérable de métadonnées

relatives à toutes sortes de code open source. Sa

base de données est en perpétuelle expansion.

Black Duck a aidé des centaines d’entreprises à

automatiser leur utilisation de code open source.

Certains des plus grands acteurs du monde du

logiciel ont procédé à leur automatisation à l’aide

des solutions Black Duck, en implémentant des

politiques et des règles d’utilisation sans perturber

la dynamique du développement.

Black Duck propose un outil permettant aux

juristes d’accéder rapidement aux informations

pertinentes sur les composants open source

utilisés par leur entreprise et d’en contrôler

les risques. En automatisant le recours à

l’open source, il sera plus facile de contrôler

la conformité des licences aux politiques et

procédures en vigueur dans l’entreprise.

Black Duck Software est le leader en matière de

produits et services destinés à l’automatisation

de la gestion, de la gouvernance et de l’utilisation

sécurisée de logiciels libres et open source,

à l’échelle de l’entreprise, dans le cadre d’un

8

processus de développement multi sources.

Black Duck® permet aux entreprises de

raccourcir les délais d’implémentation et de

réduire les coûts de développement tout en

limitant les problèmes de gestion, de conformité

et de sécurité liés aux logiciels libres et open

source. En utilisant les solutions Black Duck, les

services juridiques peuvent éviter les écueils

du développement de code mixte et aider leur

entreprise à développer et appliquer efficacement

des procédures de validation de l’open source

adaptées aux risques en cause. Pour en savoir

plus sur la manière dont votre entreprise

pourrait automatiser l’utilisation d’open source

dans le respect de bonnes pratiques, consultez

www.blackducksoftware.com.

Pour en savoir plusNous vous proposons de profiter d’une consultation gratuite avec l’un de nos spécialistes des logiciels open source. Cette consultation gratuite peut être l’occasion pour vous de découvrir comment Black Duck Suite peut contribuer à réduire les risques pesant sur votre entreprise et à faciliter le développement et la maintenance des applications par vos équipes.

Veuillez consulterwww.blackducksoftware.com/consultation

pour prendre rendez-vous pour votre

consultation gratuite. L’un de nos

spécialistes des logiciels open source

prendra contact avec vous pour déterminer

une date et un horaire en fonction de

vos disponibilités.

Si vous souhaitez parler à un conseiller dès

maintenant, veuillez contacter notre service

client au +1 781-891-5100.

9GD-CC-A4FR-0212

Royaume uni & irlande Pour plus d’informations, veuillez contacter : info-uk@blackducksoftware.com ou appeler au +44 (0)208.582.1081

daCH Pour plus d’informations, veuillez contacter : info-germany@blackducksoftware.com ou appeler au +49 (69) 67733-196

France Pour plus d’informations, veuillez contacter : info-france@blackducksoftware.com ou appeler au +33 (0) 6 28 07 77 39

Plus d’informations sont disponibles sur le site web de Black Duck disponible à l’adresse : www.blackducksoftware.com/fr

a propos de Black duck software Black Duck Software est le leader en matière de produits et services destinés à l’automatisation de la gestion, de la gouvernance et de l’utilisation sécurisée de logiciels libres et open source, à l’échelle de l’entreprise, dans le cadre d’un processus de développement multi sources. Black Duck® permet aux entreprises de raccourcir les délais d’implémentation et de réduire les coûts de développement tout en limitant les problèmes de gestion, de conformité et de sécurité liés aux logiciels libres et open source. Black Duck Software est derrière Koders.com, le principal moteur de recherche de codes open source sur le marché, Ohloh.net, la plus grande communauté dédiée à l’open source et son répertoire public open source en libre accès, et The Olliance Group, le principal cabinet de conseil en management et stratégie open source. La société, qui figure parmi les 400 plus grandes sociétés de logiciels au monde selon Softwaremag.com, dispose d’un siège à proximité de Boston et de bureaux à San Mateo en Californie, à Londres, Paris, Francfort, Hong Kong, Tokyo et Pékin. Pour plus d’informations, veuillez consulter www.blackducksoftware.com/fr.

© 2009-2012 Black Duck®, Know Your Code®, Ohloh®, SpikeSource®, Spike® et le logo Black Duck sont des marques déposées par Black Duck Software, Inc. aux Etats Unis et/ou dans d’autres pays. Koders™ est une marque déposée par Black Duck Software, Inc. Toutes les autres marques sont les propriétés de leurs titulaires respectifs. Tous Droits Réservés.