La Commonhaus Foundation lance l’Open Source Sustainability Initiative, un programme consacré aux logiciels open source arrivés en fin de vie. Le but est d’encadrer le support prolongé de composants encore présents en production, mais sortis du cycle normal des correctifs.
La fin de vie d’un composant open source ne signifie pas toujours sa disparition des environnements applicatifs. Certaines dépendances restent en production pendant des années, faute de migration simple, de compatibilité immédiate ou de ressources suffisantes pour reprendre une pile logicielle ancienne. C’est sur ce terrain que Commonhaus lance l’Open Source Sustainability Initiative, ou OSSI.
La fondation, qui se présente comme une structure dédiée à la durabilité des bibliothèques et frameworks open source, veut reconnaître des organisations capables d’assurer la sécurité et la stabilité de composants qui ne reçoivent plus de correctifs de leurs mainteneurs d’origine. Le premier partenaire Gold mis en avant est HeroDevs, spécialiste du support prolongé pour logiciels open source en fin de vie.
Un problème très opérationnel pour les DSI
Dans l’idéal, une entreprise migre rapidement vers une version maintenue lorsqu’un framework, une bibliothèque ou un outil atteint sa fin de vie. Dans la pratique, cette bascule peut dépendre d’une pile applicative ancienne, de contraintes métiers, de dépendances croisées, de tests lourds ou d’exigences réglementaires qui empêchent une mise à jour rapide. Le composant n’est plus supporté, mais l’application qui en dépend reste en production.
C’est précisément cet écart que vise OSSI. Les partenaires du programme peuvent fournir des correctifs de sécurité, des remédiations de CVE et des ajustements de compatibilité pour les organisations qui ne peuvent pas encore migrer. L’initiative ne promet pas de couvrir tous les projets ni toutes les versions en fin de vie. Chaque partenaire reste responsable du périmètre qu’il prend en charge, ce qui évite de présenter le dispositif comme une garantie générale sur l’ensemble de l’écosystème open source.
Cette prudence est importante. Le risque n’est pas seulement technique. Un composant en fin de vie complique aussi la conformité, en particulier lorsqu’une entreprise doit prouver qu’elle suit ses vulnérabilités, applique des correctifs ou justifie une mesure compensatoire. Une dépendance abandonnée peut devenir un point faible dans un audit, même si elle n’a pas encore été exploitée.
Une réponse encadrée, pas une reprise en main des projets
Commonhaus insiste sur un point de gouvernance. OSSI ne donne pas aux partenaires un pouvoir sur les feuilles de route ou la direction technique des projets. Les services sont fournis par les partenaires eux-mêmes, sous leur responsabilité, tandis que la fondation conserve son rôle de structure d’accueil et de coordination.
Les critères d’entrée traduisent aussi cette volonté d’encadrement. Pour rejoindre le programme, une organisation doit notamment être sponsor Gold ou Silver de Commonhaus, disposer de certifications SOC 2 Type 1 et Type 2, avoir déjà travaillé sur au moins deux CVE touchant des logiciels open source en fin de vie pertinents pour des projets Commonhaus, et s’engager à coordonner la divulgation responsable avec les mainteneurs.
L’initiative cherche donc à traiter une zone souvent mal couverte. Les mainteneurs ne peuvent pas assurer indéfiniment la sécurité de toutes les anciennes versions, tandis que les entreprises ne peuvent pas toujours abandonner immédiatement un composant devenu obsolète. OSSI organise un relais possible entre ces deux réalités, sans prétendre remplacer la migration vers des versions supportées.
