Qualité logicielle : le code externalisé moins contrôlé que le code développé en interne 

Externaliser son développement auprès de sociétés tierces peut être dangereux et contre-productif, démontre la dernière étude de Coverity, éditeur de solutions liées à l’intégrité des logiciels, en collaboration avec Forrester.

Selon les résultats de l'étude, menée auprès de 336 professionnels du développement applicatif en Amérique du Nord et en Europe, le code développé par des prestataires extérieurs ne bénéficierait pas du même degré d’attention que celui développé en interne, les entreprises passant outre certaines procédures de tests, d’analyse et d’évaluation des risques du logiciel final. Et bien sûr, l’externalisation des développements serait une pratique courant, accentuant un peu plus le côté dramatique de l’étude. Selon les conclusions de Coverity, plus de 90% des entreprises ont bien recours à des codes tiers fournis par des éditeurs ou des équipes sous-traitantes.

Les chiffres de l’étude montrent que seulement 44% des entreprises sondées mettent en place des procédures de contrôle et de tests automatisés sur le code externalisé, alors que les mêmes avouent y avoir recours dans 66% des cas en interne. L’écart se creuse un peu plus lorsqu’on aborde la vérification manuelle : elles ne sont que 35 % à vérifier le code tiers à la main, contre 68 % sur du code produit en interne. Même fossé lorsqu’il s’agit d’évaluer les risques, la sécurité et la vulnérabilité du code (susceptible de créer des failles) : seulement 35  % y attachent de l’importance sur le code externalisé, contre 70 % sur le code développé en interne. La différence est d'autant plus troublante qu'on attendrait des entreprises qu'elles évaluent plus strictement le code développé en externe que le code produit en interne.

Les résultats de cette étude font échos aux conclusions tirées des journées françaises du test logiciel. Réunissant les acteurs du test en France, cet événement avait notamment permis de se rendre compte que les tests logiciels, s’ils sont désormais davantage pris en compte, souffrent encore d’un déficit de popularité dans les processus de développement. “Une cinquième roue du carrosse”, en somme, comme oubliés parmi les étapes de développement logiciel. Bernard Homès, président du Comité français des tests logiciels (CFTL), soulignait par ailleurs que 15% des défauts étaient encore dans les logiciels lors de leur commercialisation ou mise en production. Evoquant tour à tour des problème de rentabilité et de structuration de la filière.
L’étude Coverity vient étayer cette analyse : 51% des entreprises interrogées affirment effectuer des tests fonctionnels sur le code de leur prestataire, alors qu’elles y recourent dans 75% des cas, en interne. Un écart également au niveau de l’assurance qualité, donc.

Enfin, Coverity semble dire que les entreprises, en ne prenant pas en compte suffisamment le code produit par leur prestataire extérieur jouent un jeu dangereux, car “dans près de la moitié des cas, c’est l’acheteur qui est tenu pour 100% responsable des problèmes de qualité et de sécurité”. Le fournisseur du code outsourcé n'est lui inquiété que dans 1 cas sur 10.