par 
GitHub a publié ses propres guides et outils internes sur la façon de mettre en place un bureau de programme open source (OSPO).
Le nouveau référentiel GitHub-OSPO sur GitHub (où d’autre ?) s’adresse aux entreprises au cours de la première année de mise en place de leur OSPO inaugural, et comprend tout, des politiques couvrant les accords de licence de contributeur (CLA) aux guides sur les référentiels d’archivage. Il s’agit essentiellement d’aider les projets open source à petite échelle à évoluer vers quelque chose de plus substantiel et organisé.
La montée de l’OSPO
Les logiciels open source recoupent à peu près toutes les facettes de la pile technologique moderne, du cloud computing et des bases de données aux serveurs et supercalculateurs. De nombreuses entreprises choisissent également d’ouvrir leurs propres projets internes pour favoriser l’adhésion de l’industrie et l’engagement de la communauté. Mais les entreprises qui cherchent à maîtriser toutes leurs obligations en matière de composants open source, de conformité, de sécurité et de licences réaliseront bientôt les immenses défis auxquels elles sont confrontées. Et c’est pourquoi l’OSPO est en train de devenir un élément essentiel de l’entreprise moderne, formalisant ce qui aurait pu être auparavant un collectif lâche d’employés couvrant une myriade de départements et de rôles.
De plus, le US Securing Open Source Software Act, projet de loi qui a émergé à la suite de la faille de sécurité critique de Log4Shell, se concentre sur les moyens d’améliorer la sécurité des logiciels open source dans les systèmes gouvernementaux – cela comprend des dispositions pour la détection/divulgation des vulnérabilités, les SBOM ( nomenclature des logiciels), et mise en place d’un OSPO au sein d’au moins une agence fédérale.
Alors que des géants de la technologie comme Microsoft et Spotify ont des OSPO dédiés, nous avons vu une augmentation de toutes sortes d’organisations emboîter le pas. Le mois dernier, le gouvernement néerlandais a révélé qu’il mettait en place un OSPO, à la suite du lancement de l’OSPO par l’Organisation mondiale de la santé (OMS) l’année dernière. Goldman Sachs, quant à lui, a ouvert son OSPO en 2021.
Selon le récent rapport Octovere de GitHub, 30 % des entreprises du Fortune 100 ont mis en place un OSPO. Et ce regain d’intérêt pour OSPO est essentiellement ce que GitHub cherche à soutenir en publiant ses propres politiques et outils internes comme modèle à suivre pour les autres.
