L'audit de code avec une chaîne logicielle Open Source

Description du module

Incontournable pour les développements logiciels dans la majorité des domaines métiers, l’usage de l’open source entraîne un certain nombre de risques qu’il est nécessaire d’évaluer et de maîtriser. Ils doivent pouvoir évaluer les capacités et limitations des outils spécialisés dans la conformité juridique en général, et l’audit de code en particulier.

Cette formation aborde ces deux aspects connexes, sous l’angle de leur articulation
avec les dimensions juridiques et organisationnelles.

Elle s’appuiera sur un ensemble de logiciels Open Source existants (NexB Scancode Toolkit et OSS Review Toolkit ) et proposera une mise en application de l’outil Open Source Hermine pour toute la dimension Open Source Policy et Legal Complicance.

Objectifs

• Comprendre les enjeux de l’audit de code ;
• Appréhender les corrélations entre aspects juridiques et réalités techniques ;
• Positionner les pratiques d’audit code dans un panorama organisationnel général ;
• Connaître les différentes catégories d’outils et leurs périmètres de pertinence ;
• Ancrer dans la pratique ces considérations théoriques.

Contenu

I – Enjeux et place de l’audit de code

• Omniprésence de l’open source dans les développements ;
• Nécessité d’une maîtrise des risques juridiques ;
• Corrélation entre qualité, conformité juridique & sécurité.

II – Audit et politique de conformité

• Types d’audit et temporalité ;
• Étapes de conformité.

III – Types d’audit de code

• Approches déclaratives et automatisées ;
• Recherches de fragments de code ;
• Recherches d’éléments textuels ;
• Traitements automatisés des métadonnées ;
• Cas particuliers de l’analyse de binaires.

IV – Interprétation juridique et propagation des résultats entre les rapports d’audit de code

• Architecture technique et périmètres juridiques ;
• Œuvres dérivées, composées et implémentations techniques ;
• Transmissions des informations dans la chaîne de production des logiciels.

V – Synthèse et application

• Revue d’indices avec Fossology ;
• Analyse de rapports de Scancode ;
• Analyse de rapports d’OSS Review Toolkit.

L’ensemble de ces étapes seront mises en pratiques avec les outils Open Source suivants :

• Revue d’indices avec Fossology / Scancode Toolkit ;
• Analyse de rapports d’OSS Review Toolkit ;
• Workflow de validation avec Hermine.