Comment lâextraction de valeur Ă partir des communs logiciels est devenue invisible â et ce que cela a fait aux personnes qui Ă©crivent du code
DeuxiĂšme session â La chaĂźne dâapprovisionnement logicielle, des annĂ©es 2010 Ă lâĂšre prĂ©-gĂ©nĂ©rative
â Lâenclosure du code â SĂ©rie complĂšte
[INTERPRĂTATION] Entre 2010 et 2022, le logiciel a cessĂ© dâĂȘtre quelque chose quâon construit pour devenir quelque chose quâon assemble. Les gestionnaires de paquets (npm, pip, Maven) ont transformĂ© la production logicielle en un rĂ©seau de dĂ©pendances transitives si vaste que personne ne pouvait le gouverner. đą 90-100% Les plateformes cloud (AWS, GCP, Azure) sont devenues les nouveaux gardiens : elles nâhĂ©bergeaient pas simplement le logiciel â elles Ă©taient la chaĂźne dâapprovisionnement. đą 90-100% Deux incidents â left-pad (2016) et Log4Shell (2021) â ont rendu briĂšvement visible le travail invisible des mainteneurs non payĂ©s qui soutenaient cette infrastructure. đą 90-100%
Cette Ăšre a normalisĂ© lâextraction au point de lâinvisibilitĂ©. Le modĂšle open core financĂ© par le capital-risque a fait de la capture de valeur Ă partir des communs une stratĂ©gie dâaffaires explicite et cĂ©lĂ©brĂ©e. đĄ 70-89% SimultanĂ©ment â et câest la tension quâil faut tenir â cette mĂȘme Ăšre a reprĂ©sentĂ© la plus grande dĂ©mocratisation de la capacitĂ© Ă construire du logiciel de lâhistoire humaine. Un dĂ©veloppeur seul Ă Lagos, Dakar ou Tizi Ouzou pouvait expĂ©dier un produit qui aurait requis une Ă©quipe de dix personnes en 2005. Les deux choses sont vraies. La question est de savoir laquelle a laissĂ© le plus de traces.
[FAIT] npm, le gestionnaire de paquets pour JavaScript, a Ă©tĂ© lancĂ© en 2010. En 2016, il hĂ©bergeait plus de 250 000 paquets. En 2025, le registre npm dĂ©passe les 2 millions de paquets. PyPI (Python), Maven Central (Java), RubyGems et NuGet ont suivi des trajectoires similaires. đą 90-100%
[INTERPRĂTATION] Ce que ces chiffres dĂ©crivent nâest pas simplement
une expansion. Câest un changement de nature dans ce que signifie «
développer du logiciel ». Quand un développeur installe un framework
front-end comme React ou Angular, il ne charge pas un outil â il charge
un arbre de dépendances qui peut inclure des centaines, voire des
milliers de paquets Ă©crits par des personnes quâil ne connaĂźt pas, quâil
ne lira jamais, et dont il dépend entiÚrement. Le blogueur David Haney a
dĂ©couvert aprĂšs lâincident left-pad quâune installation fraĂźche de Babel
incluait 41 000 fichiers. Un paquet appelĂ© isArray â une
seule ligne de code â Ă©tait tĂ©lĂ©chargĂ© 880 000 fois par jour.
Lâanalogie est celle de la grande distribution : comme un hypermarchĂ© qui assemble des produits de milliers de fournisseurs sur un linĂ©aire que le consommateur parcourt sans voir la chaĂźne dâapprovisionnement, le dĂ©veloppeur moderne assemble du code quâil nâa pas inspectĂ©, dans un graphe de dĂ©pendances quâil ne peut pas gouverner.
[FAIT] Le 22 mars 2016, Azer Koçulu, un développeur basé à Oakland, a
retirĂ© de npm les 273 paquets quâil avait publiĂ©s, dont
left-pad â une fonction de 11 lignes qui ajoute des
caractĂšres au dĂ©but dâune chaĂźne de texte. Des milliers de projets, dont
Babel, Webpack et React, dépendaient de left-pad directement ou
transitivement. Facebook, PayPal, Netflix, Spotify ont été affectés. Le
paquet avait été téléchargé 2,5 millions de fois dans le mois précédant
sa suppression. npm a restaurĂ© le paquet deux heures plus tard â un acte
sans prĂ©cĂ©dent. đą 90-100%
[FAIT] Koçulu avait agi en protestation contre npm Inc., qui avait transfĂ©rĂ© le nom de paquet « kik » Ă lâentreprise Kik Interactive aprĂšs que celle-ci eut invoquĂ© sa marque commerciale. Koçulu a Ă©crit : « Cette situation mâa fait rĂ©aliser que npm est le terrain privĂ© de quelquâun, oĂč les entreprises sont plus puissantes que les personnes. » đą 90-100%
[INTERPRĂTATION] Lâincident est rĂ©vĂ©lateur Ă trois niveaux. Dâabord, il a montrĂ© que des entreprises valant des milliards de dollars dĂ©pendaient de onze lignes de code Ă©crites par un dĂ©veloppeur individuel, sans contrat, sans rĂ©munĂ©ration, sans mĂȘme en ĂȘtre conscientes. Ensuite, la rĂ©ponse de npm â restaurer un paquet contre la volontĂ© de son auteur â a dĂ©montrĂ© que dans un systĂšme de dĂ©pendances massives, la propriĂ©tĂ© individuelle du dĂ©veloppeur cĂšde devant les « besoins du plus grand nombre ». Enfin, comme lâa observĂ© Armin Ronacher, lâapproche « micro-dĂ©pendance » de npm crĂ©e une surface dâattaque quâaucune personne raisonnable ne peut inspecter. Un dĂ©veloppeur individuel maintenait 827 modules sĂ©parĂ©s sur npm. đĄ 70-89%
[FAIT] En dĂ©cembre 2021, la vulnĂ©rabilitĂ© Log4Shell (CVE-2021-44228) a Ă©tĂ© divulguĂ©e dans Apache Log4j, une bibliothĂšque Java de journalisation utilisĂ©e par la majoritĂ© des serveurs dâentreprise dans le monde. La vulnĂ©rabilitĂ© existait inaperçue depuis 2013. Apache lui a attribuĂ© un score CVSS de 10 â le maximum. La CISA a dĂ©crit Log4Shell comme potentiellement la vulnĂ©rabilitĂ© la plus grave jamais vue. Des centaines de millions dâappareils Ă©taient affectĂ©s, y compris des systĂšmes dâApple, Amazon, Cloudflare, Tesla, Twitter et Baidu. đą 90-100%
[FAIT] Log4j Ă©tait maintenu par une poignĂ©e de bĂ©nĂ©voles non payĂ©s. La FTC amĂ©ricaine a reconnu que ces projets sont « souvent crĂ©Ă©s et maintenus par des volontaires qui nâont pas toujours les ressources adĂ©quates pour la rĂ©ponse aux incidents et la maintenance proactive, mĂȘme quand leurs projets sont critiques ». LâAgence de cybersĂ©curitĂ© de Singapour a comparĂ© Log4j à « un type de vis largement utilisĂ© dans les produits semi-finis et finis â moteurs, chaises, tables, automobiles â toute vulnĂ©rabilitĂ© dans un tel composant fondamental de la chaĂźne dâapprovisionnement logicielle peut avoir des consĂ©quences profondes ». đą 90-100%
[INTERPRĂTATION] Log4Shell nâest pas un incident isolĂ©. Câest le fonctionnement normal dâun systĂšme oĂč lâinfrastructure critique est maintenue par des bĂ©nĂ©voles. Le schĂ©ma est identique Ă Heartbleed (2014, OpenSSL) et Ă lâincident colors.js/faker.js (2022, oĂč le mainteneur Marak Squires a dĂ©libĂ©rĂ©ment sabotĂ© ses propres paquets en protestation contre le travail gratuit). Ces incidents ne sont pas des bugs â ce sont des rĂ©vĂ©lations : des moments oĂč la rĂ©alitĂ© du travail invisible devient briĂšvement visible avant que le systĂšme ne la recouvre. đĄ 70-89%
[FAIT] Amazon Web Services a lancĂ© son service Amazon Elasticsearch en 2015, utilisant le projet open source Elasticsearch sous licence Apache 2.0. Elastic, lâentreprise qui avait crĂ©Ă© et maintenait le projet, a protestĂ© que ce service avait Ă©tĂ© lancĂ© « sans collaborer avec nous » et quâil crĂ©ait de la confusion sur la responsabilitĂ© des bugs. En 2021, Elastic a changĂ© sa licence vers la SSPL (Server Side Public License), conçue pour empĂȘcher les fournisseurs cloud dâoffrir le logiciel comme service sans contribuer en retour. AWS a rĂ©pondu en forkant le projet sous le nom OpenSearch, maintenant la licence Apache 2.0. đą 90-100%
[FAIT] Le mĂȘme schĂ©ma sâest rĂ©pĂ©tĂ© : MongoDB a adoptĂ© la SSPL en 2018 pour se protĂ©ger dâAWS. Redis a changĂ© de licence BSD vers SSPL/RSALv2 en mars 2024 ; la Linux Foundation a immĂ©diatement annoncĂ© Valkey, un fork soutenu par AWS, Google et dâautres. CockroachDB et Confluent (Apache Kafka) ont effectuĂ© des changements de licence similaires entre 2019 et 2020. đą 90-100%
[INTERPRĂTATION] Ces conflits ne sont pas des disputes commerciales ordinaires. Ce sont des moments oĂč la communautĂ© a dĂ©battu de la question : qui possĂšde ce que les communs produisent ? Dâun cĂŽtĂ©, Elastic et MongoDB argumentaient que les fournisseurs cloud capturaient la valeur crĂ©Ă©e par leurs dĂ©veloppeurs sans rien retourner. De lâautre, AWS argumentait quâelle dĂ©fendait lâopen source en maintenant des forks sous licence permissive. Les deux positions sont sincĂšres. Mais la dynamique structurelle est claire : quand le fournisseur cloud peut forker nâimporte quel projet open source et lâoffrir comme service gĂ©rĂ©, le pouvoir ne rĂ©side plus dans le code â il rĂ©side dans lâinfrastructure. Câest la mĂȘme dynamique qui permet Ă un hypermarchĂ© dâimposer ses conditions Ă ses fournisseurs : celui qui contrĂŽle le linĂ©aire dicte les termes. đĄ 70-89%
[INTERPRĂTATION] Pendant cette Ăšre, le capital-risque a explicitement financĂ© la stratĂ©gie de construction sur des fondations open source tout en capturant la valeur en privĂ©. Le modĂšle « open core » â un noyau open source gratuit surmontĂ© de fonctionnalitĂ©s propriĂ©taires payantes â est devenu le playbook standard. MongoDB lâa dĂ©crit dans son introduction en bourse (S-1, 2017) : la version gratuite existe « pour encourager lâusage par les dĂ©veloppeurs, la familiaritĂ© et lâadoption de notre plateforme ». Câest une stratĂ©gie de dĂ©pendance dĂ©libĂ©rĂ©e : lâopen source crĂ©e lâaddiction, la version payante capture la valeur. đĄ 70-89%
[FAIT] Les projets ayant changĂ© de licence â MongoDB, Elastic, Redis, CockroachDB, Confluent â sont tous contrĂŽlĂ©s par des entreprises uniques, gĂ©nĂ©ralement adossĂ©es Ă du capital-risque. Le capital-risque cherche des options de sortie (introduction en bourse, acquisition). Cette tension entre la logique communautaire de lâopen source et la logique de sortie du capital-risque est structurelle, pas accidentelle. đĄ 70-89%
[INTERPRĂTATION] La reconnaissance de ce schĂ©ma par la communautĂ© des dĂ©veloppeurs a Ă©tĂ© progressive plutĂŽt que soudaine. Des voix critiques existaient tĂŽt â le mainteneur de Typesense a notĂ© sur Hacker News que lâopen source est « formidable pour attirer des contributeurs » mais devient « un albatros autour du cou » quand il sâagit de gĂ©nĂ©rer des revenus. Mais la prise de conscience collective sâest cristallisĂ©e autour des incidents concrets : les changements de licence, les forks par les gĂ©ants du cloud, les burnouts publics de mainteneurs.
[FAIT] LâenquĂȘte Stack Overflow 2024 (65 437 rĂ©pondants de 185+ pays) rĂ©vĂšle que le burnout nâest plus subtil â il est bruyant. Pour la premiĂšre fois, les dĂ©veloppeurs seniors rapportent une satisfaction professionnelle plus basse que les juniors. Une enquĂȘte Stack Overflow de 2022 a trouvĂ© que 2 dĂ©veloppeurs sur 5 prĂ©sentent un risque Ă©levĂ© de burnout. đĄ 70-89%
[INTERPRĂTATION] Le phĂ©nomĂšne de « JavaScript fatigue » ou « framework fatigue » a un nom depuis au moins 2016. Le cycle dâadoption, dâapprentissage et de migration entre frameworks crĂ©e ce quâun analyste dĂ©crit comme « un burnout silencieux mĂȘme parmi les Ă©quipes les plus dĂ©vouĂ©es ». Le problĂšme nâest pas simplement quâil y a trop dâoutils â câest que chaque changement de pile technologique impose un coĂ»t cognitif et temporel : configuration, dĂ©bogage, nouvelles abstractions Ă comprendre. Le dĂ©veloppeur moderne ne code pas tant quâil ne configure : il assemble des services, relie des API, et gĂšre des fichiers de configuration pour des outils quâil nâa pas choisis et ne comprend pas pleinement.
David Haney posait la question dĂšs 2016 : « Si vous ne pouvez pas Ă©crire une fonction left-pad en 5 minutes, vous ne savez pas coder. Enfiler des appels dâAPI les uns aux autres et appeler ça de la programmation nâen fait pas de la programmation. Câest une forme dĂ©lirante de piratage de dĂ©pendances impliquant le cloud, la sur-ingĂ©nierie et une complexitĂ© bien au-delĂ de ce qui est nĂ©cessaire. »
[INTERPRĂTATION] Quand le travail passe de « construire » à « assembler », quelque chose se perd dans lâidentitĂ© professionnelle. Le syndrome de lâimposteur dans les communautĂ©s de dĂ©veloppeurs est omniprĂ©sent : le sentiment de ne pas « vraiment » comprendre la pile technologique quâon utilise, lâanxiĂ©tĂ© de dĂ©pendre de code quâon nâa jamais lu. LâĂšre artisanale avait produit un dĂ©veloppeur dont la dignitĂ© venait de la maĂźtrise. LâĂšre de lâassemblage produit un dĂ©veloppeur dont la productivitĂ© vient de la vitesse de configuration â et dont la dignitĂ© est menacĂ©e par la prochaine mise Ă jour de framework qui rend ses compĂ©tences obsolĂštes.
Le contraste avec lâĂšre 1 est frappant : le dĂ©veloppeur des annĂ©es 1990 savait ce que faisait chaque composant de sa pile. Le dĂ©veloppeur de lâĂšre de lâassemblage gĂšre un graphe de dĂ©pendances quâaucune personne ne peut inspecter. Le premier avait une relation artisanale avec ses outils. Le second a une relation de dĂ©pendance avec ses fournisseurs â invisibles, non payĂ©s, et potentiellement en burnout.
[FAIT] LâExecutive Order 14028 du prĂ©sident Biden (mai 2021) a rendu les Software Bills of Materials (SBOM) obligatoires pour les fournisseurs du gouvernement fĂ©dĂ©ral amĂ©ricain. Le EU Cyber Resilience Act (CRA), proposĂ© en 2022 et adoptĂ© en 2024 (RĂšglement 2024/2847), impose des exigences de cybersĂ©curitĂ© obligatoires pour tous les fabricants vendant des produits numĂ©riques sur le marchĂ© europĂ©en, avec entrĂ©e en vigueur complĂšte en dĂ©cembre 2027. Le CRA exige explicitement un SBOM dans la documentation technique et la capacitĂ© de rappeler des produits dĂ©fectueux â allant plus loin que lâapproche amĂ©ricaine. đą 90-100%
[INTERPRĂTATION] Ces rĂ©ponses politiques sont significatives mais tardives. Elles arrivent aprĂšs deux dĂ©cennies pendant lesquelles la chaĂźne dâapprovisionnement logicielle sâest construite sans supervision. Lâapproche CRA â qui impose non seulement la transparence mais la capacitĂ© de rappel â est structurellement plus ambitieuse que lâapproche amĂ©ricaine. Mais un acteur est absent de la conversation : les mainteneurs eux-mĂȘmes. Comme le note Sonatype, le CRA pourrait ĂȘtre « bon pour la sĂ©curitĂ© de la chaĂźne dâapprovisionnement, mauvais pour lâopen source » â en imposant des obligations de conformitĂ© Ă des bĂ©nĂ©voles qui nâont dĂ©jĂ pas les ressources pour maintenir leurs projets. đĄ 70-89%
[INTERPRĂTATION] LâĂšre de lâassemblage a dĂ©mocratisĂ© lâaccĂšs aux outils de dĂ©veloppement. Un dĂ©veloppeur Ă Abidjan installe les mĂȘmes paquets npm quâun dĂ©veloppeur Ă San Francisco. Mais lâasymĂ©trie persiste : moins de bande passante pour tĂ©lĂ©charger les dĂ©pendances, moins dâinfrastructure pour les tests, et aucun siĂšge Ă la table de gouvernance. Les communautĂ©s francophones du logiciel libre (les RAFLL, Ovillage en CĂŽte dâIvoire, les communautĂ©s OpenStreetMap en Afrique de lâOuest) continuent de construire des alternatives, mais elles opĂšrent Ă lâintĂ©rieur dâun Ă©cosystĂšme de dĂ©pendances quâelles ne contrĂŽlent pas.
Le paradoxe est complet : npm, pip et Maven ont donnĂ© au monde entier les mĂȘmes briques de base. Mais la gouvernance de ces briques â les dĂ©cisions sur les licences, les politiques de suppression, les prioritĂ©s de maintenance â reste concentrĂ©e dans une poignĂ©e dâentreprises amĂ©ricaines. La dĂ©mocratisation de lâusage nâest pas la dĂ©mocratisation du pouvoir.
Argument pour lâasservissement : LâĂšre de lâassemblage a crĂ©Ă© une dĂ©pendance structurelle envers des communs non financĂ©s, des plateformes cloud oligopolistiques, et un Ă©cosystĂšme de frameworks en rotation permanente. Le dĂ©veloppeur individuel a perdu la maĂźtrise de ses outils au profit de la vitesse de livraison. Le burnout est devenu endĂ©mique. Lâextraction est devenue invisible.
Argument pour lâĂ©mancipation : Cette mĂȘme Ăšre a permis Ă plus de personnes de construire du logiciel que jamais dans lâhistoire. Un dĂ©veloppeur autodidacte avec un ordinateur et une connexion Internet peut expĂ©dier un produit fonctionnel en quelques semaines. LâenquĂȘte Stack Overflow 2024 montre que les dĂ©veloppeurs nâattendent plus la permission dâune institution pour apprendre â « ils trouvent la documentation, vont sur YouTube, et apprennent en public ». Les barriĂšres dâinfrastructure ont Ă©tĂ© Ă©crasĂ©es par le cloud. Les barriĂšres de connaissance ont Ă©tĂ© Ă©crasĂ©es par les gestionnaires de paquets.
Le signal faible : Les deux sont vrais, mais ils ne sont pas vrais pour les mĂȘmes personnes. LâĂ©mancipation profite au dĂ©veloppeur qui assemble un produit pour expĂ©dier. Lâasservissement frappe le mainteneur qui maintient les briques que tout le monde utilise. Le premier est cĂ©lĂ©brĂ©. Le second est invisible. Câest la mĂȘme structure que dans la grande distribution : le consommateur bĂ©nĂ©ficie de prix bas ; le producteur est Ă©crasĂ© par la pression sur les marges. La question nâest pas « est-ce que câest bon ou mauvais ? » mais « pour qui ? ».
Le dĂ©bat Elastic/AWS a Ă©tĂ© traitĂ© par la presse spĂ©cialisĂ©e comme un conflit commercial entre entreprises. Il est rarement formulĂ© dans les termes qui lui conviendraient : un dĂ©bat sur lâenclosure des communs numĂ©riques. Quand un fournisseur cloud peut forker nâimporte quel projet open source et lâoffrir comme service gĂ©rĂ©, les incitations Ă contribuer au commun sâeffondrent pour tous ceux qui ne sont pas le fournisseur cloud. Câest le mĂ©canisme classique de la tragĂ©die des communs â mais avec cette diffĂ©rence que la tragĂ©die est organisĂ©e, financĂ©e et cĂ©lĂ©brĂ©e comme innovation.
LâĂ©conomie politique du capital-risque dans lâopen source. Les dynamiques de pouvoir entre investisseurs, fondateurs et communautĂ©s dans les entreprises open core mĂ©ritent une analyse dĂ©diĂ©e. La pression vers la sortie (IPO, acquisition) dĂ©forme systĂ©matiquement les incitations communautaires.
Les dĂ©veloppeurs du Sud global. Cette recherche manque de donnĂ©es primaires sur lâexpĂ©rience vĂ©cue par les dĂ©veloppeurs en Afrique, en Asie du Sud et en AmĂ©rique latine face Ă la dĂ©pendance aux plateformes. Les RAFLL et les communautĂ©s similaires sont documentĂ©es, mais lâexpĂ©rience quotidienne du dĂ©veloppeur qui assemble des paquets npm depuis Dakar ou Dhaka reste sous-Ă©tudiĂ©e.
Les alternatives concrĂštes. Deno, Bun, et dâautres projets tentent de rĂ©duire lâexplosion des dĂ©pendances. Les « vendored dependencies » (copie des dĂ©pendances dans lâarbre source) sont une pratique ancienne qui connaĂźt un regain dâintĂ©rĂȘt. Ces alternatives nâont pas Ă©tĂ© explorĂ©es ici.
Le genre et la diversitĂ© dans la maintenance. Qui sont les mainteneurs ? Les donnĂ©es dâEghbal et de Tidelift montrent que ce sont souvent des individus isolĂ©s, mais lâanalyse genrĂ©e et gĂ©ographique de cette population est insuffisante.
LâĂšre de lâassemblage a Ă©tabli quatre conditions qui rendent lâĂšre gĂ©nĂ©rative (Ăšre 3) non seulement possible mais prĂ©visible :
PremiĂšre condition : un corpus massif de code sur GitHub. Lâexplosion des dĂ©pendances et la centralisation du code sur GitHub (rachetĂ© par Microsoft en 2018) ont crĂ©Ă© le plus grand corpus de code jamais assemblĂ©. Ce corpus est la matiĂšre premiĂšre sur laquelle les modĂšles de langage ont Ă©tĂ© entraĂźnĂ©s. Sans lâĂšre de lâassemblage, il nây aurait pas de Copilot.
DeuxiĂšme condition : une main-dâĆuvre habituĂ©e Ă assembler plutĂŽt quâĂ construire. La « classe de configuration » â les dĂ©veloppeurs dont le travail consiste Ă cĂąbler des services plutĂŽt quâĂ Ă©crire des algorithmes â est la population la plus immĂ©diatement menacĂ©e par les outils de gĂ©nĂ©ration de code. Si votre travail est dĂ©jĂ dâassembler des appels dâAPI, un modĂšle de langage peut le faire aussi.
TroisiĂšme condition : une attente normalisĂ©e que les communs existent pour ĂȘtre moissonnĂ©s. Le recadrage « open source » de lâĂšre 1, renforcĂ© par le modĂšle open core de lâĂšre 2, a normalisĂ© lâidĂ©e que le code des communs est un input pour la crĂ©ation de valeur privĂ©e. LâentraĂźnement de modĂšles de langage sur des corpus de code open source est la conclusion logique de cette normalisation.
QuatriĂšme condition : un paysage politique qui commence Ă peine Ă comprendre les enjeux. LâExecutive Order de 2021 et le CRA europĂ©en sont des rĂ©ponses Ă des incidents passĂ©s (SolarWinds, Log4Shell). Ils ne sont pas conçus pour les enjeux de lâĂšre gĂ©nĂ©rative â lâextraction de savoir-faire Ă partir du corpus GitHub, la commodification de lâĂ©criture de code, la question de ce qui revient aux auteurs du code sur lequel les modĂšles sont entraĂźnĂ©s.
Session 3 (prĂ©vue) : LâĂšre gĂ©nĂ©rative. Comment lâentraĂźnement de modĂšles de langage sur des corpus de code open source constitue la forme la plus radicale dâextraction Ă ce jour. Le code est transformĂ© en poids statistiques qui remplacent le dĂ©veloppeur lui-mĂȘme. La question des droits dâauteur, la commodification de lâĂ©criture de code, et lâimpact sur lâidentitĂ© professionnelle des dĂ©veloppeurs.
Approfondissement nĂ©cessaire : lâĂ©conomie politique du capital-risque dans lâopen source ; lâexpĂ©rience vĂ©cue des dĂ©veloppeurs du Sud global face Ă la dĂ©pendance aux plateformes ; les alternatives concrĂštes au modĂšle de dĂ©pendances massives (vendored dependencies, Deno, Guix, Nix) ; la gouvernance des fondations open source (Apache, Linux Foundation, CNCF) et leur relation aux entreprises qui les financent.
LâĂšre 2 a laissĂ© sur la table exactement ce que lâĂšre 3 avait besoin de trouver.
Un corpus. GitHub hĂ©berge plus de 200 millions de dĂ©pĂŽts. La quasi-totalitĂ© du code public produit pendant lâĂšre de lâassemblage est indexĂ©, accessible, et stockĂ© dans un format que les modĂšles de langage peuvent ingĂ©rer. Ce nâest pas un accident â câest la consĂ©quence directe du choix de centraliser le dĂ©veloppement logiciel mondial sur une plateforme unique, rachetĂ©e par Microsoft pour 7,5 milliards de dollars en 2018.
Une main-dâĆuvre. Des millions de dĂ©veloppeurs dont le travail quotidien consiste dĂ©jĂ Ă assembler plutĂŽt quâĂ construire â et qui sont donc les premiers candidats Ă la commodification par des outils qui assemblent plus vite quâeux.
Une norme. LâidĂ©e que le code produit dans les communs est un input librement disponible pour la crĂ©ation de valeur privĂ©e. Si IBM pouvait construire un milliard de dollars de ventes sur Linux, si AWS pouvait forker Elasticsearch et lâoffrir comme service, alors pourquoi OpenAI ne pourrait-il pas entraĂźner un modĂšle sur lâintĂ©gralitĂ© de GitHub ?
Un vide politique. Les rĂ©gulateurs commencent Ă peine Ă comprendre les SBOM et les chaĂźnes de dĂ©pendances. La question de savoir ce qui revient aux auteurs du code sur lequel les modĂšles sont entraĂźnĂ©s nâa pas encore de cadre juridique. Quand lâĂšre gĂ©nĂ©rative arrive, elle trouve un terrain sans clĂŽtures.
Le logiciel est « open » mais lâutilisateur est enfermĂ© dans des plateformes. La route est libre â mais le pĂ©age est Ă la sortie.
| # | Source | Type | Date | Langue |
|---|---|---|---|---|
| 1 | Wikipedia, « npm left-pad incident » | đ EncyclopĂ©die | 2026 | EN |
| 2 | The Register, « How one developer just broke Node, Babel and thousands of projects » | đ° Presse spĂ©c. | 03/2016 | EN |
| 3 | Quartz, « How one programmer broke the internet by deleting a tiny piece of code » | đ° Presse gĂ©n. | 03/2016 | EN |
| 4 | D. Haney, « NPM & left-pad: Have We Forgotten How To Program? » | đ Blog | 03/2016 | EN |
| 5 | npm Blog, « kik, left-pad, and npm » (post-mortem officiel) | đïž Primaire | 03/2016 | EN |
| 6 | LWN.net, « A single Node of failure » | đ° Presse spĂ©c. | 03/2016 | EN |
| 7 | Wikipedia, « Log4Shell » | đ EncyclopĂ©die | 12/2025 | EN |
| 8 | CISA, « Apache Log4j Vulnerability Guidance » | đïž Primaire | 12/2021 | EN |
| 9 | CISA/FBI/NSA, « Mitigating Log4Shell and Other Log4j-Related Vulnerabilities » | đïž Primaire | 12/2021 | EN |
| 10 | PMC/NIH, « Log Jam: Lessons Learned from the Log4Shell Vulnerability » | đ AcadĂ©mique | 2023 | EN |
| 11 | DataCenter Knowledge, « Log4Shell Vulnerability Highlights Software Supply Chain Issues » | đ° Presse spĂ©c. | 01/2022 | EN |
| 12 | CSA Singapore, « The Log4Shell Vulnerability » | đïž Primaire | 2022 | EN |
| 13 | Wikipedia, « Server Side Public License » | đ EncyclopĂ©die | 01/2026 | EN |
| 14 | TechTarget, « Elastic vs. AWS highlights open source monetization dilemma » | đ° Presse spĂ©c. | 2021 | EN |
| 15 | The Register, « OpenSearch, the AWS-sponsored Elasticsearch fork, reaches 1.0 » | đ° Presse spĂ©c. | 07/2021 | EN |
| 16 | Computing.co.uk, « Elastic has stretched the patience of many in open source » | đ° Presse spĂ©c. | 01/2021 | EN |
| 17 | Architecture Weekly, « Why Open Source Isnât Always Fair » | đ Blog | 08/2025 | EN |
| 18 | Stack Overflow, « 2024 Developer Survey » | đïž Primaire | 05/2024 | EN |
| 19 | ShiftMag, « Stack Overflow Survey: 80% of developers are unhappy » | đ° Presse spĂ©c. | 01/2025 | EN |
| 20 | Medium/Devglyph, « How Chasing Every New JavaScript Framework Burned Me Out » | đ Blog | 10/2025 | EN |
| 21 | N. Eghbal, « Roads and Bridges », Ford Foundation | đïž Primaire | 2016 | EN |
| 22 | N. Eghbal, « Working in Public », Stripe Press | đïž Primaire | 2020 | EN |
| 23 | TechCrunch, « Open source sustainability » | đ° Presse spĂ©c. | 06/2018 | EN |
| 24 | The Register, « When software depends on a random guy in Nebraska » | đ° Presse spĂ©c. | 05/2021 | EN |
| 25 | OpenSSF, « SBOM Standards: EU CRA and OpenSSF » | đïž Primaire | 10/2025 | EN |
| 26 | Sonatype, « EU CRA: Good for Software Supply Chain Security, Bad for Open Source? » | đ° Presse spĂ©c. | 12/2022 | EN |
| 27 | NCSC UK, « SBOMs and the importance of inventory » | đïž Primaire | 03/2025 | EN |
| 28 | Commission europĂ©enne, « Cyber Resilience Act » | đïž Primaire | 2024 | EN |
| 29 | FOSSA, « SBOM Requirements in the EUâs CRA » | đ° Presse spĂ©c. | 09/2024 | EN |
Recherche effectuée en mars 2026. Langues : français, anglais. Sources sur le Sud global issues de la session 1 (RAFLL, communautés francophones du libre). Toutes les URL visitées pendant la recherche.