5SECTION 5 · CE QUE LE SRE PEUT FAIRE
CONNAÎTRE SA CHAÎNE DE DÉPENDANCE
Le SRE ne peut pas résoudre seul le problème du financement de l'open source. Mais il peut réduire son exposition au risque de dépendance non financée — et contribuer, à son niveau, à la viabilité de l'écosystème dont il dépend.
◆ LEVIER 1 — AUDITER SES DÉPENDANCES OPEN SOURCE
Connaître les bibliothèques critiques dont son infrastructure dépend, leur niveau de maintenance (date du dernier commit, nombre de mainteneurs actifs, présence d'une fondation ou d'un sponsor), et leur historique de vulnérabilités. Cet audit devrait être aussi standard que l'audit de sécurité — parce que c'est de la sécurité. Un outil comme Dependabot ou Renovate automatise une partie de ce suivi.
◆ LEVIER 2 — INTÉGRER LE RISQUE "ABANDON DE MAINTENEUR" DANS LES ANALYSES DE RISQUE
Le risque qu'un mainteneur critique abandonne sa bibliothèque devrait figurer dans les analyses de risque d'infrastructure, au même titre que le risque de faillite d'un fournisseur ou de fin de support d'un OS. Ce risque a une réponse : fork interne de la bibliothèque, migration vers une alternative mieux maintenue, ou contribution au financement du mainteneur.
◆ LEVIER 3 — CONTRIBUER ET FAIRE CONTRIBUER
Les entreprises qui utilisent de l'open source peuvent contribuer par le code (correctifs de bugs, nouvelles fonctionnalités), par le financement (dons aux mainteneurs, adhésion aux fondations), ou par le temps (ingénieurs dédiés à la maintenance de bibliothèques critiques). Ces contributions ne sont pas du mécénat — elles sont de la gestion de risque. Une bibliothèque mieux financée est une dépendance moins risquée.
◆ NASSIHA — LA CONTRIBUTION N'EST PAS ACCESSIBLE À TOUS
Contribuer à l'open source demande du temps et des compétences que tous les SRE et toutes les entreprises n'ont pas. La réponse systémique — financement public, obligations légales de contribution proportionnelle à l'usage — est irremplaçable. Les leviers individuels sont des compléments, pas des substituts.