Dans le monde des technologies open source, plusieurs projets critiques souffrent d’un manque de soutien, rendant leur avenir incertain. Chainguard, une entreprise spécialisée dans la cybersécurité et la protection de la chaîne d’approvisionnement des logiciels, a récemment lancé EmeritOSS, un programme dont le but est de maintenir et sécuriser des projets open source populaires mais abandonnés, tels que Kaniko, Kubeapps et Ingress-NGINX.
Un Soutien pour les Projets Abandonnés
EmeritOSS vise à offrir une maintenance durable aux projets qui, bien qu’ils aient atteint une certaine maturité fonctionnelle, manquent de mainteneurs actifs. Ce programme ne cherche pas à ajouter de nouvelles fonctionnalités, mais plutôt à assurer une maintenance sûre et prévisible, permettant aux organisations de continuer à utiliser ces outils tout en planifiant éventuellement leur transition vers d’autres solutions.
Chainguard décrit EmeritOSS comme une forme de « stewardship durable » pour les projets open source matures, soulignant son importance dans un environnement où l’abandon de ces outils peut engendrer des risques majeurs de sécurité et d’opération.
Fonctionnement d’EmeritOSS
Les projets sélectionnés pour EmeritOSS bénéficient d’une maintenance qui inclut la création de forks publics stables, la mise à jour des dépendances et la délivrance de nouvelles versions contenant des correctifs de vulnérabilités. Ces mesures visent à assurer que le code reste disponible et sécurisé, tout en respectant les mainteneurs d’origine.
Chainguard a débuté ce programme après que Google a archivé Kaniko, un outil apprécié pour construire des images de conteneurs. Les utilisateurs de Chainguard ont exprimé leurs préoccupations quant à l’arrêt du support, ce qui a conduit la société à intervenir et à maintenir un fork de Kaniko.
Importance pour l’Écosystème Open Source
EmeritOSS répond à une problématique pressante dans la communauté open source : de nombreux projets critiques opèrent à la merci de la disponibilité de leurs mainteneurs. Ce programme, en permettant une transition en douceur des projets vers une entité de confiance, vise à réduire le risque d’absorption d’éventuelles vulnérabilités non corrigées.
Les organisations peuvent également soumettre des projets à Chainguard pour leur évaluation et leur intégration dans le programme EmeritOSS, ce qui témoigne de l’engagement de l’entreprise à soutenir un nombre croissant d’outils critiques.
Conclusion : Un Pas vers la Durabilité
La situation actuelle des projets open source souligne la nécessité d’un modèle où la responsabilité est partagée entre les utilisateurs et les mainteneurs. Chainguard, avec EmeritOSS, propose une solution innovante pour pallier le manque de soutien à ces outils essentiels. En travaillant ensemble pour maintenir et sécuriser ces projets, les entreprises peuvent s’assurer que leur infrastructure reste robuste et fiable.
Pour en savoir plus sur ce programme innovant, consultez l’article complet sur ZDNet ici.
