Visuel de la formation à l'Open source

Formation

L'audit de code avec une chaîne logicielle Open Source

Description du module

Incontournable pour les développements logiciels dans la majorité des domaines métiers, l’usage de l’open source entraîne un certain nombre de risques qu’il est nécessaire d’évaluer et de maîtriser. Ils doivent pouvoir évaluer les capacités et limitations des outils spécialisés dans la conformité juridique en général, et l’audit de code en particulier.

Cette formation aborde ces deux aspects connexes, sous l’angle de leur articulation
avec les dimensions juridiques et organisationnelles.

Elle s’appuiera sur un ensemble de logiciels Open Source existants (NexB Scancode Toolkit et OSS Review Toolkit ) et proposera une mise en application de l’outil Open Source Hermine pour toute la dimension Open Source Policy et Legal Complicance.

Objectifs

  • Comprendre les enjeux de l’audit de code ;
  • Appréhender les corrélations entre aspects juridiques et réalités techniques ;
  • Positionner les pratiques d’audit code dans un panorama organisationnel général ;
  • Connaître les différentes catégories d’outils et leurs périmètres de pertinence ;
  • Ancrer dans la pratique ces considérations théoriques.

Contenu

I – Enjeux et place de l’audit de code

  • Omniprésence de l’open source dans les développements ;
  • Nécessité d’une maîtrise des risques juridiques ;
  • Corrélation entre qualité, conformité juridique & sécurité.

II – Audit et politique de conformité

  • Types d’audit et temporalité ;
  • Étapes de conformité.

III – Types d’audit de code

  • Approches déclaratives et automatisées ;
  • Recherches de fragments de code ;
  • Recherches d’éléments textuels ;
  • Traitements automatisés des métadonnées ;
  • Cas particuliers de l’analyse de binaires.

IV – Interprétation juridique et propagation des résultats entre les rapports d’audit de code

  • Architecture technique et périmètres juridiques ;
  • Œuvres dérivées, composées et implémentations techniques ;
  • Transmissions des informations dans la chaîne de production des logiciels.

V – Synthèse et application

  • Revue d’indices avec Fossology ;
  • Analyse de rapports de Scancode ;
  • Analyse de rapports d’OSS Review Toolkit.

L’ensemble de ces étapes seront mises en pratiques avec les outils Open Source suivants :

  • Revue d’indices avec Fossology / Scancode Toolkit ;
  • Analyse de rapports d’OSS Review Toolkit ;
  • Workflow de validation avec Hermine.

Formateur

CamilleM

Camille MOULIN

Pour qui ?

  • Responsables de conformité / compliance manager ;
  • OSPO ;
  • Responsables développement projet et / ou produit.

Informations pratiques

  • Durée : 1 jour
  • Prérequis : aucun
  • Tarif « intra » (dans vos locaux) : 2 500€ HT
  • Tarif « inter » (chez nous à Paris) : 1 100€ HT / stagiaire
  • Lieux : dans nos locaux à Paris (près de Gare du Nord), ou à votre demande en « intra » (dans vos locaux).
  • Prochaine date :
    • 18 octobre 2024
    • 4 avril 2025

Ressources pédagogiques