Solutions Linux : OW2 donne un coup de tampon qualité à ses membres

A l’occasion de Solutions Linux 2011, le consortium OW2 a annoncé intégrer un programme de contrôle de la qualité et des licences des logiciels de ses membres dans son processus de gouvernance. Un pas en avant en matière de validité et de garantie des applications Open Source et enfin, une contrat de confiance pour les entreprises.

“Ayez confiance en l’Open Source”,  demande aujourd’hui Cédric Thomas, CEO du consortium OW2, dans un appel en direction des entreprises, lancé à l'occasion de l’édition 2011 de Solutions Linux. Le groupement, qui fédère certains éditeurs clés du monde du logiciel ouvert et anime une communauté influente sur la couche middleware (le projet du serveur d’application Jonas en est la parfaite illustration), a enrichi son modèle de gouvernance d’un programme de contrôle de la qualité des solutions de ses membres. A la clé, un audit à la fois de la qualité du code des logiciels, mais également un inventaire et un contrôle de la  propriété intellectuelle associée à chaque brique logicielle qui généralement compose un projet Open Source.

SPDX : un standard de définition de paquets à la Linux Foundation
Depuis 2010, la Linux Foundation travaille à une spécification baptisée SPDX (Software Package Data Exchange), qui doit définir un format standard d’échange d’informations liées aux composants, licences et copyrights associés à un paquet logiciel. L’idée est de fournir aux entreprises un système de distribution de paquets ainsi que des licences, dont les composant soient clairement identifiés et définis, et surtout qu’ils soient interprétables par l’ordinateur. Pour au final, offrir une grille de lecture sur les usages possibles ou non, sur la conformité des paquets avec le SI ou encore sur les aspects légaux liés aux licences. Encore en bêta, le SPDX devrait être finalisé au mois d’août prochain. Parmi les sociétés associées au projet, on retrouve notamment Canonical, HP, Motorola, Black Duck Software, la Mozilla Foundation, Freescale, Red Hat, Coverity, Apache et Eclipse.
Cliquez pour dérouler

Aujourd’hui, si l’Open Source est reconnu pour la qualité de ses logiciels, affirme en substance Cédric Thomas, il reste encore certaines barrières qui refroidissent les entreprises en matière d’adoption de projets Open Source. Et de citer le manque de support, de roadmap claire, de responsables commerciaux identifiés… mais surtout il règne une crainte autour de la propriété intellectuelle et de la compatibilité des licences, note-t-il.  Bref, il est nécessaire de rassurer les entreprises et surtout d’offrir des garanties validant l’intégrité et la qualité des logiciels ouverts.

C’est donc à ces problématiques que doit répondre le programme Squat (Software Quality Assurance and Trustworthiness) du consortium. Désormais, chaque projet OW2, afin de passer au stade mature (qui représente la dernière étape dans l’échelle de valeur OW2) devra passer les tests afin d’être conforme à Squat. Pour cela, le programme s’appuie sur des outils Open Source existants : Fossology pour l’identification des licences, Antelink pour l’origine du code, Sonar pour la qualité des règles de programmation, Qualypso MMOST pour l’adéquation, et enfin CSTC (China Software Testing Center) pour tout ce qui est lié aux contrôles des fonctionnalités.

Une analyse minutieuse qui au final débouchera sur la génération d’un rapport global que les projets matures devront fournir, explique Cédric Thomas. “Au premier trimestre 2012, tous les projets matures d’OW2 devront être “Squat compliant””, commente-t-il, enfin. Sans être une certification, ce rapport constitue non seulement un gage de transparence en matière de propriété intellectuelle et de licencing, mais également une forme de contrat de garantie sur l’intégrité, la validité et la conformité de l’application.

Il est bon de rappeler que la grande variété des licences Open Source constitue l’un des principaux freins à l’adoption de l’Open Source par les entreprises. Une jungle dans laquelle se perdent facilement les DSI et décideurs, aux prises avec des termes de licences permissives et non-permissives et leur compatibilité, tant entre elles qu’avec le SI de l’entreprise. L’Open Source Initiative (OSI), qui valide le caractère Open Source d’une licence, avait d'ailleurs, toujours dans le sens de la qalification, décidé d’opérer un nouveau classement des licences, dans le but de contrer leur prolifération et de faciliter leur compréhension et leur adoption.

Pour approfondir sur Middleware et intégration de données

Close