En tant qu’ingénieurs logiciels ou architectes, nous donnons souvent la priorité à l’efficacité au cours du développement. Lorsque nous voyons un package open source puissant sur GitHub avec de nombreuses étoiles et une belle documentation, nos doigts ont souvent le réflexe de taper pnpm add ou npm install.
Mais avez-vous déjà pensé que ces outils apparemment « gratuits » et « libres » pourraient cacher une bombe à retardement qui risquerait d’exposer votre entreprise à des risques de violation de brevet ?
Dans le développement de logiciels commerciaux, outre les capacités techniques, comment devrions-nous comprendre les nuances derrière ces protocoles open source (Licences) ?
Comprendre la limite du « commercialement convivial »
Dans le monde de l’open source, tout ce qui est « gratuit » n’est pas forcément équivalent. Nous divisons généralement les licences courantes en deux grands camps :
1. Très favorables au commerce (Permissive Licenses)
L’esprit fondamental de ce type de licence est : « Prenez-le et utilisez-le, souvenez-vous simplement de dire que c’est moi qui l’ai écrit, et ne venez pas me chercher si quelque chose tourne mal. » Pour les entreprises qui développent des produits à vendre, ce sont comme des « dépliants gratuits » distribués dans la rue ; vous pouvez les utiliser comme set de table pour votre boîte à lunch, les plier en avions en papier, ou même les reconditionner dans vos produits raffinés.
| Licence | Description |
|---|---|
| MIT | La plus simple, la liberté maximale (ex : React, Vue). |
| BSD (2/3-Clause) | Comme la sœur de MIT, mais met davantage l’accent sur l’exonération légale. |
| Apache 2.0 | Le choix de prédilection des entreprises, car elle inclut une protection supplémentaire par « licence de brevet ». |
2. Une utilisation commerciale exige de la prudence (Copyleft Licenses)
Ces licences possèdent une « viralité ». La plus célèbre est la série GPL.
C’est comme rejoindre un « pacte de sang ». Tant que vous référencez ou modifiez ce type de code dans votre base de code, selon les règles, l’ensemble de votre produit peut avoir à adopter leur « nom de famille », ce qui signifie être forcé de rendre votre code source open source.
Le « piège des brevets » des licences minimalistes : Pourquoi le MIT et BSD ne sont-ils pas assez sûrs ?
Beaucoup de gens pensent : « Le MIT est si libéral ; il doit absolument être sûr pour un usage commercial, n’est-ce pas ? » Pourtant,
« Droit d’auteur (Copyright) » n’est pas synonyme de « Brevet (Patent) ».
Les licences MIT et BSD sont très brèves. Elles vous accordent principalement la permission de copier le code textuel. Mais dans le vide juridique, l’auteur original pourrait très bien affirmer :
« Je vous ai permis de copier le texte du code, mais je n’ai pas dit que vous pouviez utiliser librement les brevets techniques contenus dans le code ! »
En revanche, Apache 2.0 arrive avec le « cadeau d’un accord de trêve ». Il intègre deux des défenses les plus solides :
| Élément | Contenu |
|---|---|
| Concession explicite de brevet | Lorsque l’auteur original publie le code, il signe et s’engage à ce que ses brevets techniques vous soient également accordés. |
| Clause de représailles aux brevets (Dissuasion nucléaire) | Si quelqu’un utilise ce code pour poursuivre l’auteur original pour violation de brevet, il perdra automatiquement toutes les concessions de brevets pour ces logiciels. Cela établit un « cessez-le-feu sur les brevets » tacite entre tous, et les grandes entreprises (comme Google, Amazon) la privilégient particulièrement. |
Quand les géants du cloud s’affrontent avec les créateurs d’Open Source
Vous avez peut-être entendu parler des modifications de licences de MongoDB ou Elasticsearch. C’est parce que les géants du cloud (comme AWS) étaient trop doués pour « profiter du système ».
Ces géants prennent des packages open source pour créer des services hébergés et amasser une fortune, mais ne redonnent que peu aux créateurs initiaux. Les créateurs ont donc riposté avec des clauses comme SSPL :
Vous pouvez l’utiliser, mais si vous souhaitez vendre mon logiciel en tant que service (SaaS) à des tiers, vous devez également rendre open source le code de l’intégralité de votre infrastructure cloud.
Cela a effectivement empêché les géants de revendre directement les dernières fonctionnalités et a contraint les utilisateurs à passer au SaaS professionnel des créateurs.
Stratégie de défense de l’architecte : Construire un « Pare-feu »
En tant qu’architecte, que devez-vous faire si vous êtes contraint par des exigences à utiliser un package à haut risque ou avec des litiges en matière de brevets ?
Nous ne devons pas seulement savoir comment choisir, mais aussi comment construire un « pare-feu ». L’approche la plus classique consiste à utiliser le « Modèle de conception Adaptateur (Adapter Pattern) ».
Pour faire simple, n’appelez pas directement ce package au sein de votre logique de traitement métier. Tout d’abord, vous définissez une interface de couche abstraite. C’est comme sculpter un trou de prise dans votre mur ; que derrière la prise se trouve l’alimentation du réseau public (Package A) ou un générateur (Package B), cela reste transparent pour votre équipement consommateur d’énergie (logique métier).
En utilisant l’inversion de dépendance pour découpler la logique métier des dépendances open source, si des problèmes de licence surviennent ou si les négociations de prix échouent à l’avenir, il vous suffira de réimplémenter la couche de l’adaptateur (Adapter) pour changer rapidement de packages, vous octroyant ainsi la capacité de « vous échapper rapidement ».
Conclusion : Une fondation stable est nécessaire pour construire un gratte-ciel
Choisir la bonne licence open source, c’est comme poser les bonnes fondations ; ce n’est qu’avec des fondations stables que vous pouvez sereinement construire un immeuble de grande hauteur.
La prochaine fois, avant d’introduire un paquet inconnu, n’oubliez pas de faire une pause, de jeter un coup d’œil au fichier LICENSE, de vérifier de quel type de licence il s’agit et d’évaluer les risques liés aux brevets qui le sous-tendent. Ce n’est qu’en cultivant cette conscience défensive et cette stratégie de découplage, que tout « architecte logiciel » devrait posséder, que nous pourrons avancer de manière plus stable et plus loin dans la voie du développement itératif rapide des logiciels.
Reference
- Apache License, Version 2.0 | Apache Software Foundation
- Frequently Answered Questions - Open Source Initiative
- Licenses - Open Source Initiative
- Apache License, Version 2.0 - Open Source Initiative
- The MIT License - Open Source Initiative
- ISC License - Open Source Initiative
- The 3-Clause BSD License - Open Source Initiative
- The 2-Clause BSD License - Open Source Initiative
- GNU General Public License version 2 - Open Source Initiative
- GNU General Public License version 3 - Open Source Initiative