Pour répondre à une question qui m’a été récemment posée par @tid, concernant la publication du code de la plateforme en Open Source, et un autre point concernant l’intégration de contributions directes de membres F-OSM, voici un premier retour (vu avec WebU aussi), pour lancer la discussion et voir quels pourraient être les éventuels freins et les lever.
Concernant le code, il sera publié en Open Source, mais peut être que certaines parties un peu « sensibles » concernant la sécurité seront à traiter un peu différemment.
Pour les contributions au développement par des membres F-OSM, là aussi cela devrait être possible (souhaitable même ?), avec une condition importante que toutes les contributions soient bien encadrées (et potentiellement là aussi en dehors d’aspects plus contraignants concernant la sécurité). D’où l’idée sans doute de créer à terme une communauté dédiée à ce sujet et réfléchir à un mode de fonctionnement global en intégrant le(s) développeur(s) F-OSM avec le process actuel de WebU pour garantir une certaine qualité de code et bien gérer la phase d’intégration et de test.
Rien d’insurmontable à mon avis, mais idée à bien creuser avant de se lancer.
Perso je serais pour avoir tout en open-source. Le code est vérifiable est s’il y a des problèmes de sécurité, ils pourront être detectés et fixés aussi plus rapidement grâce potentiellement à l’aide de la commnauté. C’est un peu la même question très actuelle des applications de tracing. Perso je pense que l’approche « security throught obscurity » c’est pas gagnant.
Je ne sais pas l’état actuel de la code base, par contre si on a des test unitaires avec une coverage élevée, des logiciels pour la vérification statique du code, du auto-linting, et tout en CI, je pense qu’on peut avoir quelque chose de faisable. Après c’est à WebU, j’imagine, à donner les politiques pour la contribution qui puissent les aider dans le boulot (et pas les ralentir)…
En effet, la question de la sécurité est intéressante et ressort de deux approche très différentes.
Mon avis est proche de @tid sur ce point.
Comme WebU host, c’est eu qui auront le dernier mot sur le code, l’idée serait d’avoir une réactivité plus importante dans l’évolution de la plateforme et pouvoir alléger la charge de travail si possible des devs.
Après, est-ce compatible avec la manière de travailler de WebU ?!