Your SlideShare is downloading. ×
Guide à l’attention des                    juristes d’entreprise pour la                  mise en place de politiques de  ...
Les juristes d’entreprise sont de plus en plus              exemple estimé que 85% des entreprises qu’ilsouvent confrontés...
•	 Quel type d’audit mettre en place dans le cadre de          des logiciels open source est en train de devenir   fusions...
juristes doivent être en mesure de comprendre                Il est capital de se conformer aux conditions deles obligatio...
applicable aux logiciels open source utilisés dansses routeurs sans fil.                                    La mise en pla...
L’entreprise peut mettre en place des outils automatisés utiles à chaque étape de la vie desapplications logicielles de l’...
en fonction des politiques et des règles définiespar les services juridiques.                               Un outil pour ...
Il est presque impossible de ne pas se perdre             Faire confiance à Black Duckdans le dédale des composants et lic...
processus de développement multi sources.Black Duck® permet aux entreprises de                    Pour en savoir plusracco...
A propos de Black Duck Software                      Black Duck Software est le leader en matière de produits et services ...
Upcoming SlideShare
Loading in...5
×

Guide à l'attention des juristes d'entreprise pour la mise en place de politiques de gestion de l'Open Source

545

Published on

Les juristes d'entreprise sont souvent confrontés au dilemme suivant : comment permettre aux équipes de mieux tirer parti des logiciels open source (OSS) tout en préservant leur société des risques liés à leurs licences. Ils doivent veiller à mettre des politiques en place dans tous ses services pour évaluer les risques liés à l’utilisation de logiciels open source et déterminer des règles et procédures afin de protéger l’entreprise tout en aidant les équipes à atteindre leurs objectifs plus facilement.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
545
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Guide à l'attention des juristes d'entreprise pour la mise en place de politiques de gestion de l'Open Source"

  1. 1. Guide à l’attention des juristes d’entreprise pour la mise en place de politiques de gestion de l’open source Comment réduire les risques pesant sur votre entreprise tout en facilitant le développement et la maintenance de vos applications Collection de guides Black Duck© 2009-2012 Black Duck®, Know Your Code®, Ohloh®, SpikeSource®, Spike® et le logo Black Duck sont des marques déposées par Black Duck Software, Inc. aux Etats Unis et/oudans d’autres pays. Koders™ est une marque déposée par Black Duck Software, Inc. Toutes les autres marques sont les propriétés de leurs titulaires respectifs. Tous Droits Réservés.
  2. 2. Les juristes d’entreprise sont de plus en plus exemple estimé que 85% des entreprises qu’ilsouvent confrontés au même dilemme – comment a auditées utilisent de l’open source. On ne peutpermettre à leurs équipes de développeurs de raisonnablement attendre des chefs de projetsmieux tirer parti des logiciels open source (OSS) qu’ils soient des experts en conditions de licencetout en préservant leur entreprise des risques liés ou des juristes et avocats qu’ils perdent leurà leurs licences. Les logiciels open source sont temps à valider du code source ou à rechercher,des logiciels dont le code source, lisible par l’être analyser et sélectionner du code open source utilehumain, est diffusé sous certaines conditions de pour les applications de l’entreprise.licence. Les équipes de développement peuvent Pour permettre à une entreprise de profiterutiliser, modifier et améliorer ces logiciels, et pleinement de l’adoption de l’open source, sespeuvent les redistribuer sous leur forme originale juristes doivent veiller à mettre des politiquesou sous une forme modifiée. Les logiciels open en place dans tous ses services pour évaluersource sont généralement développés de manière les risques liés à l’utilisation de logiciels opencollaborative et publique et sont mis à disposition source et déterminer quelles règles et procéduresdes développeurs via Internet. permettront de protéger l’entreprise tout enEn plein ralentissement de l’économie, les aidant les équipes de développement à atteindredéveloppeurs se doivent de réduire leurs budgets leurs objectifs commerciaux plus facilement. Latout en continuant de fournir des applications mission d’un service juridique est de protéger sonlogicielles innovantes permettant aux entreprises entreprise contre les risques – sans pour autantd’améliorer leur productivité et de s’imposer mettre en place des politiques trop restrictivesmalgré un marché de plus en plus concurrentiel. handicapantes pour l’entreprise. Lorsqu’uneC’est la raison pour laquelle tant d’entreprises se entreprise recourt à l’open source, ses juristesservent de l’open source pour monter leurs projets doivent être en mesure de répondre à certaineslogiciels, tout en consacrant moins de ressources interrogations, telles que :au développement. • Comment éviter les procès fondés sur des violations de licences open source ?A vrai dire, il y a déjà belle lurette que les • Comment aider les équipes de développement àdéveloppeurs ne se privent pas pour utiliser veiller au respect des conditions de licence – sansde l’open source. Cette utilisation a explosé risquer de faire exploser le temps de travail dualors que les politiques d’entreprise et les service juridique ou le budget alloué aux servicesplateformes de gestion sont restées à la traîne. de cabinets d’avocats externes ?L’adoption de l’open source a pris comme une • Comment s’assurer que les logiciels développés par l’entreprise ne comportent pas de composantstrainée de poudre, le groupe Gartner ayant par logiciels contrefaisants ? 1
  3. 3. • Quel type d’audit mettre en place dans le cadre de des logiciels open source est en train de devenir fusions et d’acquisitions pour vérifier la validité du aussi importante pour l’entreprise que sa propre code acquis par l’entreprise ? capacité de développement. A l’heure actuelle, • Comment réunir les informations nécessaires des centaines de milliers de projets open source pour que la conformité de l’utilisation puisse être vérifiée par le service juridique, les développeurs – et des milliards de lignes de code open source et aux fins d’exportation ? – peuvent facilement être téléchargés, alors • Comment aider les équipes de développement de que la plupart des services juridiques manquent logiciels à tirer profit des avantages économiques de personnel pour veiller à la conformité aux de l’open source sans leur donner l’impression conditions de licence et protéger leur entreprise que les juristes entravent le développement ? des risques contentieux.La limitation des risques liés Pour ne pas s’exposer aux conséquences d’uneaux logiciels open source utilisation abusive de logiciels, la clé est de développer des politiques et des procédures seAvec la crise économique que nous traversons, basant sur les bonnes pratiques applicables etl’aptitude à trouver, intégrer et gérer efficacement d’automatiser la gestion du code open source. LesLes responsables d’équipes de développement ont besoin d’outils automatisés pour gérer lesrisques et profiter des bénéfices de l’open source. 2
  4. 4. juristes doivent être en mesure de comprendre Il est capital de se conformer aux conditions deles obligations issues des licences open source. licence open source pertinentes pour prévenir lesIls doivent par ailleurs s’attacher à développer risques de survenance de contentieux couteuxdes politiques transversales afin de protéger leur en temps et en argent. Si l’on considérait àentreprise des risques inhérents à d’éventuelles une époque que l’utilisation de l’open sourceviolations de licences. Les entreprises peuvent dépendait seulement de la validité de sontirer d’importants bénéfices de l’utilisation d’open attribution entre développeurs et entreprises, ellesource mais leurs services juridiques doivent, à est aujourd’hui discutée devant les tribunaux. Deces fins, veiller au développement de politiques plus, la nouvelle médiatisation des problèmes deet de procédures protégeant l’entreprise et licences open source peut nuire à la réputationpermettant une utilisation à la fois efficace et et aux relations extérieures des contrevenants.irréprochable des logiciels open source. Une mauvaise gestion de code open source peut conduire à une dégradation d’image, à des“Code libre” ne signifie pas “libre de toute contrefaçons de droits d’auteurs, voire à uneobligation” - l’open source est soumis à des interruption des livraisons, susceptibles d’êtrelicences et des risques juridiques spécifiques et dommageables pour la réputation de l’entrepriseparfois complexes qui, à défaut d’une gestion et d’avoir une incidence immédiate sur lesadéquate, sont susceptibles de retarder, voire revenus générés par un produit.d’interdire, le déploiement ou la fourniture delogiciels. Une cour d’appel fédérale américaine Diverses entreprises peuvent être citées àa récemment considéré, dans le cadre d’une titre d’exemples pour avoir dû répondre à desdécision rendue dans l’affaire Jacobsen contre allégations selon lesquelles elles auraient malKatzer, que Katzer avait abusivement utilisé encadré leur utilisation de code open source.du code open source et devait de ce fait être Diebold a été poursuivie pour violation de laconsidéré comme responsable d’une contrefaçon licence publique GNU, après avoir utilisé Linuxde droits d’auteur ainsi que d’un manquement dans ses machines à voter sans respectercontractuel. Si cette affaire a permis de définir les conditions de la GPL. L’image de Google aun nouveau standard en matière d’application été écornée à l’occasion du lancement de sade licences open source, elle a également plateforme mobile Android, à cause de failles deattiré l’attention des juristes d’entreprise sur sécurité répertoriées. Skype a pour sa part étél’importance de gérer spécifiquement ces poursuivie pour une violation de la licence GPLressources, alors que certains pensaient que leur concernant un téléphone VoIP. Enfin, Verizon autilisation était totalement libre et sans contrainte. été poursuivie sur le fondement de la licence 3
  5. 5. applicable aux logiciels open source utilisés dansses routeurs sans fil. La mise en place deIl est essentiel pour les entreprises de comprendre bonnes pratiqueset de respecter les exigences des licences open Les solutions de Black Duck Softwaresource pour éviter les risques de détérioration permettent aux juristes de collaborerd’image et de contentieux. Les méthodes étroitement avec les responsables du développement afin de mettre en placemanuelles de recherche, de sélection, de des bonnes pratiques tout en optimisantmonitoring et de validation de code open source le développement et en rationalisantemportent une charge de travail ingérable pour l’utilisation des ressources de l’entreprise.les services juridiques. L’automatisation est Voici quelques bonnes pratiques que vousfondamentale pour toute entreprise souhaitant pourrez mettre en place dans le cadreincorporer de l’open source dans ses propres des politiques que vous définirez afin dedéveloppements afin d’en réduire les coûts et protéger votre entreprise :de gérer efficacement ses applications à chaque • Réutiliser les composants existants dans la mesure du possibleétape de leur existence. • Suivre et contrôler les évolutions des composants internesSe servir de l’automatisation • Contrôler la réutilisation des composantspour renforcer la productivité sensibles ou externesBlack Duck™ Software est le numéro un • Vérifier chaque version compilée et chaque releasemondial des fournisseurs de produits et services • Vérifier la conformité lors des transitionspermettant d’accélérer le développement de entre phases du projetlogiciels grâce à une utilisation contrôlée de • Veiller à la traçabilité de l’utilisation decode open source et de code tiers. Black Duck composants open sourcepermet aux entreprises de raccourcir leur délais • Contrôler l’utilisation des composantsde commercialisation et de réduire leurs coûts • Analyser les composants logiciels avant dede développement et de maintenance, tout en les acheterlimitant les risques et difficultés inhérents à laréutilisation de code open source, découlant par Si l’open source offre d’incroyables opportunitésexemple de ses conditions de licence, de failles de d’amélioration de la productivité, l’aptitude àsécurité et de la prolifération des versions. facilement trouver les meilleurs composants open source et à les évaluer est essentielle. La 4
  6. 6. L’entreprise peut mettre en place des outils automatisés utiles à chaque étape de la vie desapplications logicielles de l’entreprise. Sélection Choisir du code sur la base de métadonnées pertinentes et des politiques en vigueur Recherche Rechercher du code à Validation utiliser dans les applications Valider en fonction des politiques en vigueur dans l’entreprise Surveillance Surveiller l’utilisation et Compiler l’impact du code sur des Compiler le code validé à applications complexes l’aide de vos outils habituels Vérification Vérifier que tout code utilisé a été validébase de connaissances Black Duck – qui assure La nature dynamique du développement dela veille de plus de 180.000 projets open source logiciels nécessite que soit mis en place des– est la base de données relative aux logiciels process automatisés prévoyant un équilibreopen source et à leurs licences la plus complète entre pouvoirs et contrepouvoirs et définissantdu marché. les modalités des arbitrages entre juristes et ingénieurs. Pour l’entreprise, l’efficacité deLes ingénieurs sont payés pour écrire, tester, l’utilisation de l’open source dépend notammentmaintenir et améliorer du code. Ce ne sont de sa capacité à faire de sa gestion une procédurecependant pas des spécialistes du droit et il intégrée et transversale, plutôt que de sene faut donc pas s’attendre à ce qu’ils soient contenter d’un développement purement linéaire.capables de prendre des décisions commerciales Certaines techniques d’automatisation permettentrelatives à l’utilisation de code open source. de rationaliser les process nécessaires pourLe challenge consiste donc à encourager la réussir l’amalgame entre des extraits de codecollaboration au sein de l’entreprise, sans pour provenant de sources diverses. Les équipes deautant laisser les équipes de développement pieds développement peuvent ainsi analyser les risqueset poings liés. En effet, juristes et développeursont bien souvent du mal à s’entendre. 5
  7. 7. en fonction des politiques et des règles définiespar les services juridiques. Un outil pour les fusions/Les juristes peuvent par ailleurs utiliser les acquisitionssolutions de Black Duck pour s’assurer de Voxeo Corporation est une société concevant des applications vocales faciles à mettre enla conformité à d’éventuelles restrictions à œuvre. Lorsqu’elle a voulu se développer enl’exportation, telles que les lois américaines absorbant un développeur asiatique innovant,restreignant l’exportation de logiciels de la direction a rapidement évalué la valeur de la base de code de la société cible. Lecryptographie. Black Duck propose la seule et Vice-Président en charge de la Techniqueunique solution au monde conçue spécifiquement chez Voxeo, Daniel Polfer, explique : “Nouspour faciliter ce type de vérification de conformité étions conscients que le droit de la propriétépour les logiciels et les appareils électroniques intellectuelle varie d’un pays à l’autre et nous souhaitions évaluer honnêtement le code de lacontenant des logiciels. Partout dans le monde, société que nous souhaitions acheter afin dedes juristes font confiance aux solutions Black protéger notre investissement et de s’assurerDuck pour analyser leur code source et identifier de la valeur du code.” Vérifier le code à la mainles éléments de cryptographie qu’il contient afin était inenvisageable, alors Voxeo s’est tournée vers le système d’analyse Black Duck Protex.de se mettre plus rapidement et facilement en Une équipe multidisciplinaire composée deconformité avec la réglementation applicable à juristes et de responsables techniques a analyséleur exportation. le code — et nous avons ensuite pu procéder à cette acquisition en toute confiance.Les entreprises peuvent désormais se fier à des “Avant de signer le chèque, nous devionssystèmes automatisés pour économiser aux vérifier quels logiciels open source la sociétéjuristes la fastidieuse tâche de conduire des audits cible utilisait et de quelle manière elle leset analyses juridiques pour valider l’utilisation de utilisait” ajoute Polfer. “Avant de finaliser la vente, nous avons pu minimiser nos risques encode open source. Il convient de faire collaborer évaluant objectivement le code, en comprenantl’équipe juridique avec les équipes de sécurité, les problèmes de licences, et en veillant à cede développement et autres responsables que nous puissions utiliser le code dans nos propres produits sans risque. Nous avonsconcernés au sein de votre entreprise pour utiliser pu constater que le vendeur s’était montréles ressources open source conformément aux de bonne foi dans sa description du code.politiques et procédures adoptées. Les juristes Protex nous a permis de nous protéger contrepourront ainsi contribuer à une plus grande tout potentiel risque d’existence d’obligation imprévue. Cette vérification nous a finalementtransparence et permettre aux chefs de projets confortés dans notre choix et a permisd’utiliser du code open source sereinement. d’entériner cette acquisition.” 6
  8. 8. Il est presque impossible de ne pas se perdre Faire confiance à Black Duckdans le dédale des composants et licences On ne peut pas raisonnablement attendre deopen source. Accomplir un tel travail à la main chaque entreprise qu’elle assure une veille durelève de la gageure pour les services juridiques. gigantesque catalogue de code open sourceHeureusement, il est désormais possible de disponible et qu’elle en actualise les métadonnées.simplifier cette tâche épuisante et chronophage La base de données Black Duck, qui répertorieen automatisant la recherche, la sélection et la plus de 180.000 produits émanant de plus devalidation de composant. 4.000 sites, est régulièrement mise à jour avecVous pouvez vous fier à des outils reconnus des dizaines de nouveaux produits. Black Duckpour identifier d’éventuelles incompatibilités de archive un nombre considérable de métadonnéeslicences, mettre en évidence toute écart entre relatives à toutes sortes de code open source. Sales règles définies et la pratique en matière base de données est en perpétuelle expansion.d’utilisation de propriété intellectuelle et mettre Black Duck a aidé des centaines d’entreprises àen place un dispositif de résolution des incidents. automatiser leur utilisation de code open source.Vous pourrez travailler en étroite collaboration Certains des plus grands acteurs du monde duavec vos collègues du développement ou de la logiciel ont procédé à leur automatisation à l’aidesécurité pour définir des règles applicables à des solutions Black Duck, en implémentant desla validation d’éléments logiciels, vérifier leur politiques et des règles d’utilisation sans perturberconformité aux licences et régler tout problème la dynamique du développement.au plus tôt dans le cycle de développement – Black Duck propose un outil permettant auxavant que votre entreprise ne soit exposée au juristes d’accéder rapidement aux informationsmoindre risque commercial. L’automatisation pertinentes sur les composants open sourceréduit le nombre de tâches manuelles requises utilisés par leur entreprise et d’en contrôlerpar la planification, la création et la maintenance les risques. En automatisant le recours àde logiciels. Elle permet par ailleurs aux juristes l’open source, il sera plus facile de contrôlerde protéger l’entreprise contre tout risque lié aux la conformité des licences aux politiques etlicences tout en permettant un développement procédures en vigueur dans l’entreprise.plus efficace et productif. Black Duck Software est le leader en matière de produits et services destinés à l’automatisation de la gestion, de la gouvernance et de l’utilisation sécurisée de logiciels libres et open source, à l’échelle de l’entreprise, dans le cadre d’un 7
  9. 9. processus de développement multi sources.Black Duck® permet aux entreprises de Pour en savoir plusraccourcir les délais d’implémentation et de Nous vous proposons de profiter d’uneréduire les coûts de développement tout en consultation gratuite avec l’un de noslimitant les problèmes de gestion, de conformité spécialistes des logiciels open source. Cette consultation gratuite peut être l’occasionet de sécurité liés aux logiciels libres et open pour vous de découvrir comment Blacksource. En utilisant les solutions Black Duck, les Duck Suite peut contribuer à réduire lesservices juridiques peuvent éviter les écueils risques pesant sur votre entreprise et àdu développement de code mixte et aider leur faciliter le développement et la maintenanceentreprise à développer et appliquer efficacement des applications par vos équipes.des procédures de validation de l’open sourceadaptées aux risques en cause. Pour en savoir Veuillez consulterplus sur la manière dont votre entreprise www.blackducksoftware.com/consultationpourrait automatiser l’utilisation d’open source pour prendre rendez-vous pour votredans le respect de bonnes pratiques, consultez consultation gratuite. L’un de noswww.blackducksoftware.com. spécialistes des logiciels open source prendra contact avec vous pour déterminer une date et un horaire en fonction de vos disponibilités. Si vous souhaitez parler à un conseiller dès maintenant, veuillez contacter notre service client au +1 781-891-5100. 8
  10. 10. A propos de Black Duck Software Black Duck Software est le leader en matière de produits et services destinés à l’automatisation de la gestion, de la gouvernance et de l’utilisation sécurisée de logiciels libres et open source, à l’échelle de l’entreprise, dans le cadre d’un processus de développement multi sources. Black Duck® permet aux entreprises de raccourcir les délais d’implémentation et de réduire les coûts de développement tout en limitant les problèmes de gestion, de conformité et de sécurité liés aux logiciels libres et open source. Black Duck Software est derrière Koders.com, le principal moteur de recherche de codes open source sur le marché, Ohloh.net, la plus grande communauté dédiée à l’open source et son répertoire public open source en libre accès, et The Olliance Group, le principal cabinet de conseil en management et stratégie open source. La société, qui figure parmi les 400 plus grandes sociétés de logiciels au monde selon Softwaremag.com, dispose d’un siège à proximité de Boston et de bureaux à San Mateo en Californie, à Londres, Paris, Francfort, Hong Kong, Tokyo et Pékin. Pour plus d’informations, veuillez consulter www.blackducksoftware.com/fr. © 2009-2012 Black Duck®, Know Your Code®, Ohloh®, SpikeSource®, Spike® et le logo Black Duck sont des marques déposées par Black Duck Software, Inc. aux Etats Unis et/ou dans d’autres pays. Koders™ est une marque déposée par Black Duck Software, Inc. Toutes les autres marques sont les propriétés de leurs titulaires respectifs. Tous Droits Réservés. Royaume Uni & Irlande Pour plus d’informations, veuillez contacter : info-uk@blackducksoftware.com ou appeler au +44 (0)208.582.1081 DACH Pour plus d’informations, veuillez contacter : info-germany@blackducksoftware.com ou appeler au +49 (69) 67733-196 France Pour plus d’informations, veuillez contacter : info-france@blackducksoftware.com ou appeler au +33 (0) 6 28 07 77 39 Plus d’informations sont disponibles sur le site web de Black Duck disponible à l’adresse : www.blackducksoftware.com/frGD-CC-A4FR-0212 9

×