Posts Tagged ‘LinuxFoundation’

Everything you want to learn about UEFI will be discussed at LinuxCon EMEA


During the upcoming LinuxCon Event HP’s VP and Fellow Dong Wei, Chief Executive of the UEFI Forum will host a UEFI mini-Summit the 7th of October (in Dublin) from 9:00AM to 6:00PM. This is free to attend and will cover “how to” guidance, implementation options, and firmware tools and resources available for successful ARM and x86 platform integration using the UEFI ecosystem. Details are available at

Feel free to come for this technical deep dive with experts from HP, Insyde, Intel which will help with your transformation to adopt that key HP ProLiant Gen9 technology.

Contact myself if you want to organize specific additional sessions (especially with HP customers) around UEFI or Redfish with Dong Wei. And feel free to drop me a mail if you’re around and want to talk of these topics, Linux on ProLiant, MondoRescue, or whatever you would find interesting to discuss with me while I’m attending the event.

I hope to meet you there.

HP Helion OpenStack Workshop during LinuxCon EMEA


As during the last LinuxCon in Chicago, there will be an HP Helion OpenStack Workshop during the upcoming LinuxCon EMEA in D√ľsseldorf mid October.

This is a great opportunity for you to learn about what HP is doing in OpenStack upstream, as well as in our Community and Enterprise versions of Helion (I know these are not the official names, but as the official names are undescriptive, I use those, as I speak for myself not for HP on this blog anyway). And it’s free (as in beer) for everybody, even if you’re not attending LinuxCon. Come and interact with us (Yes I’ll also be there and probably talking a bit :-))

Bdale back home ;-)


I had the “primeur” of the information during LinuxCon US, but couldn’t share it till it was official. But as of today it is !


$ ldapsearch -h -x -b "" -LLL "(cn=*garbee*)" | grep -iE 'uid:|status:'
hpStatus: Active

Yes ! you’ve got it ! Bdale Garbee is back. And he is now a fellow, even if I can’t give a precise link to proove it … yet. Bdale will work in the CTO Office for Martin Fink. Well deserved !

I’m sure he will soon update his page to reflect this new status.

Welcome back home Bdale, and hopefully new opportunities to work together on Open Source and Linux activities ūüėČ

Speaking at LinuxCon EMEA 2014


I received confirmation and support for my travel at LinuxCon EMEA 2014 which will be in D√ľsseldorf, Germany from the 13th to the 15th of October. I’m pretty proud to have up to now presented in all the european LinuxCon events since 2011.

I’ll again animate a round table on FLOSS Governance. I’m now contacting potential panelists for this one and should announce them soon.

But I’ll also have a technical session in parallel on a subject I’m working on at the moment, and should get interest as it is docker related: Multi-OS Continuous Packaging with Docker and

Ok, so now I need to go back to my source code to make it work and publish it before the conf don’t you think so ? ūüôā

Last day at LinuxCon NA 2014


Today the keynotes were dedicated to Openness and Hardware. The first was from a company, Makerbot, which spoke a lot about Openness, but that I saw more as trying to sell their 3D printers, rather then anything else ūüė¶ I even learned later from an attendee that they even tend to block innovation with their patents ! So maybe the LinuxFoundation should take care of not “giving” opportunity to such actors to speak to an Open Source audience if their state of mind is nearer from the closed source business. Having a community sharing 3D design doesn’t sound sufficient to me.

Jonathan Kuniholm

The second keynote was on the topic that even is 3D printing is such a hype at the moment, disallowed people still have a hard time finding useful prothesis, modern ones, les expensive ones, or building their own. I really encourage you to listen to Jonathan Kuniholm (the keynote doesn’t seem to be online, but TED provides one very similar). This was puzzling for me to see how few technology is helping people like him ūüė¶ So I think that if you have time, you should look at helping his initiative at rather than inventing yet another piece of software just because the existing one doesn’t happen to please you.

IBM Keynote

Finally we had the “usual” IBM keynote, showing how Linux on Power was great, and presenting the foundation built around it. But if you look at uses cases, you see that most of them are academics, where probably the hardware was given so it weakened the talk IMO. Of course, I’m working for a competitor, so I’m not completely neutral here. Anyway having a portable Linux is extremely important, but I think it will reveal its capabilities on x86 (well it has of course!) or ARM. It had on Itanium or Sparc or Power (Linux can enable them) but the problem is that market doesn’t want such high-end platforms anymore, as they were representing a closed approach even if that has changed since. Openness is what allows mass distribution today (in processors as those mentionned, or software as Android and hopefully Linux on the desktop ;-))

UEFI Summit

After the break, I passed my day in the UEFI mini-Summit. The goal was different from last year PlugFest during LinuxCon. Instead of targetting developers, the goal was to expain the technology to potential and existing Linux sysadmin or devops. And I think it went pretty well with regards to demystifying how UEFI works woith Linux, including SecureBoot and brought back the discussion at a technical level rather than an emotional one.

An introduction talk by Dong Wei, HP served as positioning the UEFI Forum, the various groups in it (with the inclusion of ACPI), the history of UEFI, current status, and helped put everybody at the same level.

Q&A session

After that we had a (always too short IMO) round table were the audience was given the possibility to ask questions to the panelists. And there were very tough questions asked around the usefulness of UEFI, the lockdown brough by SecureBoot, … and everytime clear and honets answers were given showing why UEFI is useful, why SecureBoot help increasing Linux security without restricting users possibilties and control over their platform. All in all a lot of myths were just addressed during that Q&A session which was really interactive.

After that, we had more formal presentations:

  • UEFI Secure Boot ‚Äď Strengthening the Chain of Trust – Jeff Bobzin, Insyde Software & Kevin Lane, HP
    This session was mainly about how Secureboot is working from a technology perspective, and the various solutions existing with Linux and its boot loaders to use it, benefit from it as it really increase security by providing a chain of trust from firmware up to the kernel+intrd booted, with either standard UEFI keys or its own ones.
  • Jeff Bobzin & Kevin Lane

  • UEFI Test Tools for Linux Developers – Brian Richardson, Intel & Alex Hung, Canonical
    This session was on FWTS from Canonical which provides a UEFI firmware and ACPI test suite, used alot by manufacturers to check the conformity of their platform with the UEFI and ACPI specifications. Chipsec and LuvOS were also covered which provides other areas of test with regards to respectively security and an integrated Linux distribution calling all these tools and more, both developed by Intel.
  • Brian Richardson

  • Building ARM Servers with UEFI and ACPI – Dong Wei, HP & Roy Franz, Linaro
    This session was to give a status on UEFI support for ARM architecture, and was pretty interesting for me as I had no clue on where we are on this domain. And it seems they are catching up with Intel Architecture now and should be at parity very soon. ACPI is still less advanced, but will be there for ARM servers as requested by customers, whereas device tree will probably remain what will be used on nn server platforms.
  • Dong Wei

  • Self-signing the Linux Kernel (the hobbyist approach) – Zach Bobroff, AMI

    This last session was IMHO the best of the serie, because it was demo oriented (and I like demos !) and more over, it just worked !! The goal was to show how to register its own key used to sign its own kernel with SecureBoot, and rebooting a machine with and without key loaded to demonstrate the increased security brought by that mechanism. Was very clear and illustrative of what was described during the first session of the mini-Summit by Jeff and Kevin. Zach did an excellent job explaining each step and provided great details on how all that works, and finally showed to the audience that we shouldn’t be afraid of the feature, because we have the possibility with the shim bootloade to use our own keys without issue.
  • Zach's pres

You can listen to all these presentations at the UEFI web site. And I think it’s worth doing so for those who still have questions on the SecureBoot topic, as it will enlighten you and remove and barrier you may still see there.

UEFI Summit end

The event was then over, so it was time to benefit from my speaker gift, which was the possibility to use a boat and have a cruise around Chicago, which I did with Dong and it was a very good idea from the organizers to offer that gift. Hope the pictures will give ou a good idea of how we enjoyed it.

Second day at LinuxCon NA 2014


Well I missed the first keynote this morning, not on purpose, even it was a Cisco one ūüėČ As Chicago climate was “foggy” I think I didn’t missed anything.

S. Hykes keynote

The second I didn’t want to miss was made by Solomon Hykes on Docker (which, as he rightly said, is the word you can’t miss on the Internet nowadays)
His topic was Docker explained through the ground reasons of its creation perspective. It was interesting to see his ability to step back and have a clear look on all the ways people are using his software, identify them through clear use cases, and looking forward on what his community still has to do in order to cover all the use cases he mentionned. I was pretty impressed by his vision, his humble but decided attitude, his optimism. I think our FLOSS ecosystem as clearly a new star here.

Solomon Hykes

And that’s probably among the reasons why the project is so successful. As I wanted to share my my HP colleagues how much I was impressed, I asked to him after the keynote whether he would accept to be one of our TuXTalk speaker for our FLOSS Profession, and to my surprise he accepted right away. Staying as accessible as that is for me another proof we have a new great flagship thinker. I really look forward listening more lenghtly to his thoughts and of course working with docker as such a clever person has for sure created a clever project ! My revelation of the week.

The last Keynote was from Dirk Hohndel from Intel. He stand up instead of the original Intel speaker who had an issue, and didn’t reused his material but used the 20 minutes of the talk to freely talk about two subjects: IoT and the Cloud (that being warned the day before).

Dirk Hohndel

He made a pretty funny talk, gathering easily the devs and devops in the room saying that “The Internet was made of things way before marketers get hold of it” or putting emphasis on us as a community rather than on corporations, or ditching the wireless network of the vent (which BTW was flacky indeed). He used that trick to made it easier for him to have adhesion of the audience, which he got. But at the end he passed few messages: one around the need of an Enterprise Group for OpenStack which was created, and another one around Intel promoting a new open standard and open source implementation for discovering and managing devices part of the IoT. More at But don’t expect too much, as there is only 5 companies involved for now. I’m a bit afraid it could become like wimax in the past. But ok, it was an entertaining talk, and rather good due to the lack of preparation.

I then attended a talk from Linda Wang, Red Hat on Docker usage in Enterprise. I was rather disappointed as it remained a high level presentation without too much concrete. I’d have expect more here. The only interesting aspect was the analogy of docker with appartments in a building vs houses for VMs (cgroups being control of electricity, water, …) and the mention of Kubernetes, a container orchestration & management tool from Google.

Anita Kuno

As I had appreciated Anita Kuno’s talk at LCA this year I then chose to hear her again talking this time about OpenStack Technical Governance.

And while I knew already quite a lot, I leanred some interesting details about the roles and mechanisms around +1, +2, PTL, Technical Comitee, ATC, the election procedure and its Condorcet method. In particular she explained very well the difference between an OpenStack project (git repo) and an OpenStack program (entity recognized by TC, with a PTL, a mission statement)

With some examples around the theoritical definitions, this will become a very good talk people interested in FLOSS governance should listen to. And to stay around OpenStack, after the lunch, I then passed the rest of the afternoon in the HP Helion Workshop, delivered by Mark Dunnett from HP and coordinated by Sisi Chen from HP.

HP Helion Workshop

While I knew already quite a lot about the topic, I learned some additional details that I wasn’t aware of, which was the goal for me to attend, as well as to network with my Helion peers !

Mark passed in my opinion a bit too much time on the reminders around OpenStack, especially for the audience around.

He then detailed precisely the differences between HP Helion OpenStack Community and HP Helion OpenStack (why are our marketing guys making it so difficult to just understand stuff by not adding Enterprise to the last one is out of my understanding, and out of the one of many customers I’m interacting with). He thus underlined in the Community edition vs the Enterprise edition the support of KVM vs KVM + ESX (vCenter needed), the 6 weeks release cycle vs Quarterly release e.g. He also talked about the VXLAN support, Icinga addition and ESX proxying in the enterprise version (again my terminology, not HP’s). And our work on the TripleO and Ironic Programs (thanks Anita !), and their usage in all HP Helion OpenStack versions.

Mark Dunnett

He introduced a new component called sirius for the deployment of our storage systems, I ignored (and thus isn’t in the slideset referenced earlier yet). And explained more precisely than my slides how the HA environment is done with ha-proxy and keepalived added in overcloud controler, longside XtraDB for MySQL and RabbitMQ cluster.
And he contrates with the role of the Overcloud management controler which provides in addition some nova, ceilometer and sherpa services (in non-HA mode).

Finally he gave details on the embedded applications provided such as

  • the Distributed Virtual Router (DVR) for ovs available to ease east-west traffic between VMs, solving a performance issue and dependency on the network controller, being a SPOF. The DVR will also ease north-south traffic for floating IPs.
  • The L2 Gateway which adds mapping between VXLAN and VLAN (which are not able to communicate otherwise) using HP Network switch 59xx

The workshop should have contained a demo which would have made more concrete and real all the concepts seen and show the added value thatHP brings here by making the installation and preconfiguration of all these components just an easy task that every devops or sysadmin can perform to have a quick OpenStack distribution running. However, the demo had an issue and we weren’t able to go very far. Too bad as this is IMO key in such a workshop. Hopefully next version won’t have that issue.

Anyway A very good entry point for understanding our OpenStack based cloud offering, and I look forward working with them to replicate it in EMEA for our customers.

Free HP Helion Workshop during LInuxCon 2014 in Chicago this week


While I was reviewing my calendar for next week LinuxCon AMA 2014 in Chicago, I found out that a new workshop was proposed during the week. This is on HP Helion OpenStack

And I received also an internal mail talking about it. So first I registered ūüôā and then I thought it would be a good idea to advertize it through this blog.

It will be held the 21st of August in the afternoon, so feel free to come and learn or share your OpenStack knowledge with our experts. All the details haven been published in that article.

Now time to finish my vacation in Croatia, drive back to France and and catch the plane on monday to be in Chicago and enjoy all the sessions !

Open Source Governance Roundtable at LinuxCon North America 2014 in Chicago


I wasn’t expected to be there this year, but finally one of my proposal which was on waiting list was accepted, so I’m able to be back again this year !

I’ll animate a round table on Open Source Governance during the upcoming LinuxCon in Chicago ! I really need to thank the HP Open Source Program Office and the HP EG Presales management which are funding my travel there ! Without their support, it would not have occured.

The goal of this round table is to share the latest news in the area of Open Source Governance.
Topics covered will include:

  • Status on SPDX, LSB, FHS
  • licenses (e.g: analysis, new comers, usage example),
  • tools (e.g: license analysis, software evaluation, reference web sites),
  • best governance practices (e.g: return of experience, distribution adoption of tags, portability)

I think I’ve one of the best panel that could be gathered in the US around this topic:

  • Eileen Evans, VP & Deputy General Counsel of Cloud Computing and Open Source, HP
  • Bradley M. Kuhn, President & Distinguished Technologist of Software Freedom Conservancy
  • Gary O’Neall, Responsible for product development and technology for Source Auditor Inc
  • Tom Callaway, University Outreach & Fedora Special Projects, Red Hat

So don’t hesitate to come and attend this session, which will be, I’m sure, enlightening and informative on the latest hot topics in the area of Open Source compliance, governance and licenses.
And if you want to talk with me on anything MondoRescue,, UEFI, HP and Linux or early music, I’ll be around during the full event. See you there.

Soon back in the air and on the roads…


There will be possibilities to meet with me in some exotic places (at least for me as I never travelled there before in May !

I’ll first be in Wien, Austria, early May but that’s to celebrate somewhere my 50th birthday (half a century as my kids like to call that ;-)) and during vacations so won’t talk something else than early music or rchitecture and pictures of the nice building over there !!

But after that, I’ll attend the UEFI plugfest in Seatlle again, and be in charge of managing the interface between Linux distributions and HP. So if you plan to attend, and want to test your Linux distribution on nice shiny UEFI hardware platforms, feel free to contact me so we can organize that meeting over there.

The week after that I’ll be in Japan to present again during a LinuxCon event ! I’m very lucky first to be retained as a presenter to talk another time about Mageia. And then to be sponsored by our VP & Deputy General Counsel, Cloud Computing and Open Source Eileen Evans who is leading HP’s Open Source Program Office and allowing me to attend.

So feel free to drop me a mail if you want to chat about any topic I can decently talk about such as Disaster Recovery and Imaging or Continuous Packaging and some other surely HP related !

See you there.

Gouvernance informatique: Il est temps d’y int√©grer l’Open Source


Dans le cadre de mes activit√©s pour le Conseil des technologistes d’HP France, j’ai √©crit un article pour le Webzine IT experts sur la l’int√©gration de Open Source et la gouvernance informatique disponible sur Un grand merci √† Aur√©lie Magniez pour m’avoir aid√© √† faire cette publication.

Ci-dessous, une version l√©g√®rement modifi√©e qui tient compte de retours et r√©tablit certaines formules auxquelles je tiens, quoique moins journalistiquement correctes et certains liens (jug√©s trop nombreux par le Webzine, mais je tiens √† citer mes sources, et Tim Berners-Lee ne les a pas invent√©s pour que l’on ne s’en serve pas non ? :-))

Bonne lecture !

Aujourd’hui en 2013, toutes les entit√©s, publiques comme priv√©es, en France, comme partout dans le monde, utilisent massivement des Logiciels Free, Libres et Open Source (abr√©g√© en FLOSS (1)). Quelques exemples de cet √©tat de fait sont fournis par la Linux Foundation, comme les 600 000 t√©l√©visions intelligentes vendues quotidiennement fonctionnant sous Linux ou les 1,3 millions de t√©l√©phones Ando√Įd activ√©s chaque jour. Le dernier rapport de, pr√©sentant les super-calculateurs mondiaux, indique une utilisation de Linux √† 96,4%. Des soci√©t√©s ayant aujourd’hui un impact quotidien sur notre environnement num√©rique telles que FaceBook ou Twitter ont non seulement b√Ęti leur infrastructure sur une grande vari√©t√© de FLOSS, mais ont aussi publi√© de grandes quantit√©s de code et des projets complets sous licence libre. Ceci concerne aussi des acteurs plus classiques du monde de l’informatique comme HP ou IBM.

Ceci peut sembler normal, car on √©volue l√† dans le monde du num√©rique, mais le ph√©nom√®ne touche tous les secteurs comme le montre une r√©cente √©tude de l’INSEE, qui reporte que 43% des entreprises fran√ßaises d’au moins 10 personnes utilisent des suites bureautique FLOSS ou encore que 15% des soci√©t√©s de construction utilisent un syst√®me d’exploitation FLOSS par exemple. Cette large adoption se trouve corrobor√©e par le d√©veloppement de la fili√®re FLOSS en France, comme rapport√© par le CNLL, repr√©sentant en 2013 2,5 milliard d’Euros et 30 000 emplois.

Enfin, le secteur public n’est pas en reste avec la publication en septembre 2012 de la circulaire du premier ministre qui reconnait la longue pratique de l’administration des FLOSS, et incite celle-ci, √† tous les niveaux, √† un “bon usage du logiciel libre”, ce qui se v√©rifie dans certains minist√®res comme celui de l’int√©rieur ou de l’√©conomie. Le minist√®re de l’√©ducation nationale a ainsi d√©ploy√© 23 000 serveurs EOLE sous Linux et utilise de nombreux projets FLOSS pour la gestion multi-fonctions (r√©seau, s√©curit√©, partage) des √©tablissements scolaires.

Services impliqués dans la gouvernance FLOSS

Dans ce contexte d’utilisation g√©n√©ralis√©e, se posent certaines questions quant √† la gouvernance particuli√®re √† mettre en place ou l’adaptation de celle existante pour accro√ģtre l’usage, la distribution, la contribution au FLOSS, tant pour les fournisseurs que pour les utilisateurs de ces technologies. En effet, les FLOSS ont des sp√©cificit√©s tant techniques qu’organisationnelles (rapport √† la communaut√©, m√©thodologie de d√©veloppement, licence utilis√©e) qui ont un impact sur la fa√ßon de les g√©rer dans une entit√©. La Gouvernance Open Source, aujourd’hui, doit donc √™tre partie int√©grante d’une Gouvernance Informatique.

Contrairement √† ce qu’une rapide analyse pourrait laisser penser, ce n’est pas uniquement le service informatique qui est concern√© par l’utilisation des FLOSS. Celle-ci touche la totalit√© de l’entit√© et le mod√®le de gouvernance doit donc √™tre adapt√© en cons√©quence. En effet, le service des achats se voit souvent court-circuit√© par l’utilisation de composants logiciels t√©l√©charg√©s et non achet√©s en suivant les proc√©dures qu’il met en place, le service du personnel ne dispose pas de contrats de travail statuant sur les contributions des employ√©s √† des projets FLOSS (ne parlons pas des stagiaires ou co-traitants), le service juridique doit apprendre √† distinguer la licence Apache de la GPLv2, ou v3, le service de propri√©t√© intellectuelle consid√©rer si telle modification faite √† un projet FLOSS peut ou doit √™tre revers√©e au projet, et dans quel contexte, voire le PDG √©valuer, lors d’une scission de sa soci√©t√© en diff√©rentes entit√©es juridiques, l’impact repr√©sent√© sur la redistribution de logiciels faite √† cette occasion et le respect des licences utilis√©es. Ce ne sont que quelques exemples des questions auxquelles les entit√©s doivent r√©pondre dans le cadre d’une Gouvernance Informatique int√©grant les FLOSS.

Ceci n’est pas un d√©bat oiseux: il y a eu maintenant trop d’exemples allant jusqu’au proc√®s et sur des probl√©matiques de non-respect des licences FLOSS pour que les entreprises et services publics ignorent le probl√®me. Les cons√©quences tant financi√®res que sur leur image de marque peuvent √™tre tr√®s importantes et causer des dommages beaucoup plus graves que ne le repr√©sente la mise en conformit√© (qui consiste le plus souvent en la seule publications des codes sources modifi√©s).

Il ne s’agit pas ici d’√©noncer des √©l√©ments qui tendraient √† restreindre l’utilisation des FLOSS dans une entit√©. Au contraire, les b√©n√©fices de leur utilisation sont aujourd’hui trop √©vidents, la baisse des co√Ľts induite par la mutualisation, les gains technologiques d’avoir des souches logicielles si versatiles et √©prouv√©es doivent juste s’accompagner des mesures de gestion n√©cessaires pour en retirer tous les b√©n√©fices annonc√©s. L’analyse des risques fait partie des choix quotidiens exerc√©s au sein d’une entit√© et de m√™me que pour une d√©marche qualit√©, l’impulsion doit venir du sommet de la hi√©rarchie de l’entit√©. Celle-ci doit soutenir la cr√©ation des instances n√©cessaires √† l’√©tablissement d’une gouvernance FLOSS en leur donnant le pouvoir requis et l’interaction avec les diff√©rents services de l’entit√©.

Composants d’une gouvernance FLOSS

Tout d’abord, il s’agira de d√©velopper la compr√©hension de l’√©cosyst√®me libre au sein de l’entit√© pour en appr√©hender les sp√©cificit√©s.

La premi√®re d’entre elles est la licence gouvernant les FLOSS. Comme pour toute utilisation d’un logiciel, ou d’un service, un utilisateur se voit d√©crit ses droits et ses devoirs au sein de ce document. Ceux-ci diff√®rent selon que la licence est permissive (type Apache v2 par exemple), qui permet une utilisation (y compris pour des d√©veloppement non-FLOSS) et une redistribution avec peu de contraintes (mentions l√©gales et paternit√© par exemple). Elle permet ainsi √† des soci√©t√©s de vendre des versions propri√©taires d’Ando√Įd distribu√© sous Licence Apache v2 embarqu√©es dans leurs t√©l√©phones portables. C’est ce qui permet de consid√©rer cette licence comme “libre”. En regard on donnera √©galement l’exemple des licences de gauche d’auteur (copyleft en anglais, type GPL v2 par exemple), qui permettent une utilisation tant que le logiciel distribu√© s’accompagne des sources (√©ventuellement modifi√©es) servant √† le fabriquer. Elle permet √† des projets comme le noyau Linux d’√™tre d√©velopp√© par des milliers de d√©veloppeurs tout en restant toujours accessible dans toutes ses variantes par la mise √† disposition de son code source, d√Ľ √† cette contrainte. C’est ce qui permet de consid√©rer cette licence comme “libre”. Simplement les libert√©s sont vues ici sous l’angle du projet (qui le reste ad vitam aeternam) plut√īt que sous celui de l’utilisateur comme dans l’autre cas. C’est la raison pour laquelle toutes ces licences sont consid√©r√©es comme Open Source par l’OSI.

Une entit√© doit donc choisir les briques FLOSS qu’elle souhaite utiliser en fonction de l’usage pr√©vu pour respecter les droits et devoirs d’usage codifi√©s dans les licences (ni plus ni moins qu’avec une offre non-FLOSS), sachant que, dans la plupart des cas, l’√©l√©ment d√©clenchant l’application de la licence est la distribution du logiciel. Ainsi une soci√©t√© peut parfaitement utiliser un logiciel sous licence GPL v2, y faire des modifications et ne pas les publier, tant que l’usage reste interne √† sa structure juridique (cas fr√©quent en mode utilisation de logiciel dans un d√©partement informatique). En revanche, si elle l’incorpore √† un produit qu’elle commercialise, elle devra juste se mettre en conformit√© avec la licence et fournir en parall√®le du produit un accc√®s aux dites sources.

Ceci n’est finalement pas si compliqu√©, eu √©gard aux gains √©normes qu’elle peut en retirer en b√©n√©ficiant d’une brique logicielle √©prouv√©e qu’elle n’a ni √† d√©velopper, ni √† maintenir. Dans tous les cas, il est important que son service juridique ait une compr√©hension des droits et devoirs des licences utilis√©es pour apporter le conseil requis, comme lors de la signature de contrats avec tout fournisseur.

On le voit, la formation du service juridique est √† la base de la mise en place de toute gouvernance. D’autre part, il faut organiser au sein de l’entit√© la mise en relation entre ce service juridique et les √©quipes de d√©veloppement. Non seulement pour qu’elles apprennent √† se conna√ģtre, mais aussi pour qu’elles √©changent sur leurs besoins r√©ciproques et qu’elles comprennent comment chacune cherche √† prot√©ger l’entit√© pour laquelle elle oeuvre. Les uns le faisant eu √©gard au respect des r√®gles de droit, ce qui comprend l’explication envers les d√©veloppeurs des licences libres, les autres eu √©gard au mode d’utilisation des composants techniques sp√©cifiques des √©quipes de d√©veloppement.

Personnellement, en tant qu’ing√©nieur de formation, il m’a √©t√© tr√®s b√©n√©fique de discuter avec divers avocats sp√©cialistes des licences libres, pour mieux comprendre leur volont√© de prot√©ger l’entreprise pour laquelle ils travaillent et comment ils devaient le faire dans ce contexte. Et r√©ciproquement, je sais que les informations techniques et exemples parfois complexes d’agr√©gats de composants logiciels les aident en retour √† mieux tenir compte des cas particuliers qui peuvent se faire jour. La communication sur ce sujet doit d√©passer dans l’entit√© les structures classiques et fonctionner comme une communaut√©.

Du reste, la seconde sp√©cificit√© du logiciel libre est le fait qu’il est d√©velopp√© par une communaut√© de personnes partageant un int√©r√™t pour ce logiciel. Il en existe de toute taille (d’un d√©veloppeur assurant tout, jusqu’√† plusieurs centaines de personnes comme les larges fondations comme Apache ou OpenStack). Etudier une communaut√© avant d’utiliser le composant libre qu’elle produit est une bonne pratique pour avoir des informations sur sa vitalit√©, son organisation, sa feuille de route, en plus des caract√©ristiques purement techniques du composant. Certains sites comme Ohloh peuvent aider √† se forger une opinion dans ce domaine, pour les projets suivis. De m√™me qu’il peut √™tre alors pertinent de se poser la question des modes de contributions en retour. Cela peut consister en des correctifs, du code apportant de nouvelles fonctions, de la documentation, des traductions, une animation de communaut√©, de l’achat de prestation intellectuelle aupr√®s de professionnels oeuvrant sur le composant ou un soutien financier √† l’organisation d’un √©v√©nement permettant le rassemblement physique de la communaut√©. Certaines entreprises, comme la Compagnie Nationale des Commissaires aux Comptes t√©moignent de leurs contributions en retour envers un projet tel que LibreOffice.

Comme pr√©c√©demment, chacun de ces aspects pourra faire l’objet d’une √©tude dans le volet Open Source de la Gouvernance Informatique. On notera que la gestion de la propr√©t√© intellectuelle sera √† consid√©rer tout particuli√®rement pour les contributions sous forme de code, et en liaison avec la licence utilis√©e. Mais cet aspect peut aussi avoir un impact sur les contrats de travail des employ√©s, des co-traitants, des stagiaires, afin de d√©terminer sous quelles conditions leurs contributions sont autoris√©es.

Encore une fois, il s’agit d’inciter les entit√©s utilisatrices de logiciels libres √† ne pas se contenter d’√™tre de simples utilisatrices de FLOSS, mais √† √™tre actrices de l’√©cosyst√®me et √† contribuer √† leur tour √† l’am√©liorer en s’int√©grant dans les communaut√©s. Le dynamisme actuel autour des FLOSS est le fait du soutien tr√®s actif de nombreux utilisateurs. Pour ne citer qu’un exemple, on regardera la synergie cr√©√©e autour du projet GENIVI par ses 120+ membres, dont de nombreuses soci√©t√©s hors secteur informatique.

Enfin la derni√®re sp√©cifcit√© du logiciel libre est la m√©thodologie de d√©veloppement utilis√©e par la communaut√©. Quoiqu’elles soient toutes attach√©es √† l’acc√®s au code, elles varient √©norm√©ment d’un projet √† l’autre, en fonction de sa taille, de son style de gouvernance, des outils utilis√©s et de son historique. Mais il est important pour une entit√© qui souhaite interagir avec une communaut√© d’en comprendre la culture. Si le noyau Linux a une m√©thodologie organis√©e autour d’un “dictateur b√©n√©vole” (Linus Torvalds) qui prend les ultimes d√©cisions et de ses lieutenants, nomm√©s, en qui il a toute confiance pour prendre les d√©cisions concernant une branche de d√©veloppement, d’autres projets comme OpenStack cherchent √† adopter le mode le plus “m√©rid√©mocratique” en proc√©dant √† l’√©lection des repr√©sentants techniques des branches du projet par les d√©veloppeurs, et √† celle des repr√©sentants au conseil d’administration par la totalit√© des membres de la fondation, quels que soient leurs r√īles. Le processus d’int√©gration continue d’OpenStack implique des √©tapes pr√©cises pour y ajouter un patch par exemple. Cela n√©cessite d’abord une application sur l’arbre courant sans erreur, avant de devoir recevoir deux votes positifs puis de satisfaire le passage de l’ensemble des tests automatiques pr√©vus. Et ceci s’applique aussi bien aux repr√©sentants techniques des branches du projet qui proposent des centaines de patches par an, ou au contributeur occasionnel faisant une modification mineure de documentation. En revanche, celui qui souhaite soumettre une modification sur le noyau Linux devra passer par des listes de diffusion o√Ļ les √©changes peuvent parfois se r√©v√©ler vifs, et s’adapter aux desiderata potentiellement diff√©rents des mainteneurs de branches.

Bonnes pratiques de gouvernance FLOSS

Face √† tous ces aspects de ce monde foisonnant, certaines bonnes pratiques simples peuvent permettre aux entreprises de faire les bons choix et de s’assurer une utilisation optimale des FLOSS en en tirant le meilleur profit sans mettre √† risque leur bonne r√©putation par des actions mal vues des communaut√©s.

Une premi√®re bonne pratique peut consister √† cr√©er un comit√© Open Source. Par exemple, pour un grand groupe, il peut √™tre utile pour la direction g√©n√©rale de nommer des repr√©sentants des diff√©rents services (achats, ressources humaines, informatique, technique, juridique, propri√©t√© intellectuelle) pour d√©finir la politique √† mettre en place. Ce comit√© devra se r√©unir r√©guli√®rement, tant dans la phase de d√©finition de la partie Open Source de la Gouvernance Informatique, qu’ult√©rieurement pour la r√©viser sur la base des retours des utilisateurs et l’√©volution de projets. Il devra √©galement avoir les moyens associ√©s √† ses missions. Un groupe de travail du Syntec Num√©rique a d√©velopp√©, pour les aider dans cette activit√©, des contrats types pour leurs fournisseurs, leur demandant de pr√©ciser avec leur livraison logicielle, l’inventaire exhaustif des licences utilis√©es. Une pr√©sentation sur les contrats faite au sein de ce groupe pourra √™tre aussi consult√©e avec profit. La FSF France propose aussi des avenants de contrats de travail type pour les employ√©s contribuant √† des projets libres, et l’AFUL des mod√®les √©conomiques et financement de projets FLOSS ou de communaut√©s. Il sera ensuite facile de donner des missions et des pouvoirs plus √©tendus √† ce groupe de personnes quand l’utilisation des FLOSS augmente. Dans le cadre d’une PME, un correspondant FLOSS sera sans doute suffisant (comme il peut y avoir un correspondant s√©curit√© ou CNIL), t√Ęche qui pourra m√™me √™tre sous-trait√©e √† des soci√©t√©s specialis√©es dans le domaine.

Une fois le comit√©/correspondant nomm√© et la politique FLOSS √©tablie, il faudra pr√©voir des cycles de formations. D’une part pour le service juridique pour le cas o√Ļ il manquerait de comp√©tences sur le domaine sp√©cifique des licences libres. La soci√©t√© Alterway propose par exemple une formation par un juriste pour des juristes. D’autre part, en interne, aupr√®s de l’ensemble du personnel pour expliquer cette nouvelle politique FLOSS.

En parall√®le, il est important d’avoir une vision pr√©cise de l’utilisation actuelle des FLOSS dans son entit√©. Notamment pour v√©rifier que leur utilisation est conforme aux licences sous lesquelles ils sont utilis√©s. Les non-conformit√©s sont plus souvent d√Ľes √† la m√©connaissance qu’√† une r√©elle volont√© d’enfreindre les licences. Cette t√Ęche peut para√ģtre fastidieuse de prime abord, mais elle est √† mon sens fondamentale pour se pr√©munir, en particulier si votre activit√© vous am√®ne √† redistribuer du logiciel √† vos clients. Heureusement des outils existent pour automatiser ce travail d’inventaire et faciliter l’analyse des licences utilis√©es. Le premier √† recommander est libre: FOSSology a √©t√© d√©velopp√© par HP pour son utilisation interne, puis rendu libre en 2007 sous licence GPLv2. Il collecte dans une base de donn√©es toutes les meta-donn√©es associ√©es aux logiciels analy√©s (il peut traiter des distributions Linux enti√®res sans probl√®me) et permet l’analyse des licences r√©ellement trouv√©es dans le code depuis une interface Web. De nombreuses entit√©s outre HP comme Alcatel-Lucent, l’INRIA ou OW2 l’utilisent, y compris pour certains, en couplage avec leurs forges de d√©veloppement. Mais son acc√®s libre et sa facilit√© de mise en oeuvre ne le r√©serve pas qu’aux grands groupes et il devrait √™tre syst√©matiquement utilis√© comme compl√©ment naturel d’un gestionnaire de source, ou d’outillage d’int√©gration continue. En compl√©ment, des outils non-FLOSS peuvent √©galement aider √† ce travail d’inventaire en donnant acc√®s √† des bases pr√©√©tablies de composants connus et d√©j√† inventori√©s et fournissent de nombreuses autres fonctions. La soci√©t√© fran√ßaise Antelink, √©manation de l’INRIA, a d√©velopp√© une grande expertise dans ce domaine et a coupl√© son outillage avec FOSSology. D’autres acteurs tels que Blackduck et Palamida ont √©galement un outillage compl√©mentaire √† consid√©rer.

On pourra de plus prévoir ultérieurement un mode de déclaration des usages de FLOSS, voire, si les requêtes sont nombreuses et régulières, créer un comité de revue spécifique en charge de les évaluer et de les approuver.

Enfin certains documents de r√©f√©rence tel que le Guide Open Source du Syntec Num√©rique, les fondamentaux de la Gouvernance des logiciels libres, la vision des grandes entreprises sur la gouvernance et maturit√© de l’Open Source et le site de r√©f√©rence FOSSBazaar pourront permettre un approfondissement des sujets √©voqu√©s et donner des bonnes pratiques additionnelles quant √† la mise en oeuvre d’une gouvernance Open Source.

Et pour ceux qui souhaiteraient √™tre accompagn√©s dans la d√©marche, des soci√©t√©s telles que Smile, Alterway, Linagora, Atos, Inno3 ou HP disposent de prestations d’aide √† la mise en oeuvre d’une gouvernance Open Source. Mais que vous le fassiez seuls ou accompagn√©s, il est temps et j’esp√®re que cet article vous aura donn√© quelques clefs pour int√©grer l’Open Source dans votre politique de Gouvernance Informatique.

(1): Dans tout ce document, on utilise le terme de FLOSS comme terme g√©n√©rique recouvrant aussi bien la notion de ¬ę logiciel libre ¬Ľ, ¬ę Free Software ¬Ľ qu’¬ę Open Source ¬Ľ, tout en sachant que des nuances existent.