Outil d’analyse de code Osler - FAQ

Qu’est-ce que l’outil d’analyse de code Osler?

L’outil d’analyse de code Osler est une application Web qui analyse localement votre code source pour déterminer les licences d’utilisation associées à des logiciels ouverts qui posent les risques les plus élevés. Les résultats sont présentés dans un format convivial et visuel. Cet outil est disponible en anglais seulement.


Pourquoi utiliser l’outil d’analyse de code Osler?

L’utilisation indisciplinée de logiciels comportant du code source ouvert peut diminuer considérablement la valeur des logiciels et des brevets connexes, et de ce fait nuire à vos projets, à vos bénéfices futurs et même à votre réputation. L’outil d’analyse de code Osler analyse votre code source pour y repérer des logiciels qui auraient été inclus par suite de l’utilisation de code source ouvert. Utilisez l’outil d’analyse de code Osler pour :

  • surveiller l’utilisation de logiciels comportant du code source ouvert par votre équipe de développement;
  • effectuer des tests d’acceptation du code qu’un fournisseur de services a développé pour vous;
  • faire une vérification diligence lors de l’acquisition d’un logiciel développé par un tiers;
  • préparer le financement ou la vente de votre entreprise;
  • faire une vérification diligence quant à l’utilisation de code source ouverte (sans prise de possession du code source);
  • faire en sorte que les entreprises que vous possédez ou dans lesquelles vous investissez utilisent des logiciels comportant du code source ouvert de manière responsable.

Quels sont les coûts liés à l’utilisation de cet outil?

Il est gratuit.


Quels sont les navigateurs compatibles?

Les dernières versions de Chrome, Firefox et Opera sont prises en charge pour les ordinateurs de bureau.


Puis-je enregistrer mes résultats?

Vous pouvez exporter vos résultats d’analyse dans un fichier Microsoft Excel (.xlsx).


Puis-je imprimer mes résultats?

Vous pouvez imprimer la page des résultats de l’analyse. Cependant, pour une qualité optimale, utilisez Google Chrome et activez l’option permettant d’inclure les images et couleurs d’arrière-plan. Pour de grands référentiels, l’impression dans un fichier PDF fournit de meilleurs résultats que l’impression sur papier.


Les fichiers analysés sont-ils téléchargés sur vos serveurs?

Non. L’outil d’analyse de code Osler analyse localement tous les fichiers sur votre propre ordinateur.


Que comprennent les résultats?

Les résultats de l’outil d’analyse de code Osler sont présentés en quatre catégories.

  • Distribution de licences : Ce diagramme circulaire instantané illustre la distribution des licences repérées par l’analyse.
  • Considérations sur les licences : Il s’agit d’une liste des licences trouvées dont l’utilisation nécessite un examen attentif. 
  • Vue des licences : Cette liste classe les fichiers analysés en fonction des licences qui en gèrent l'utilisation.
  • Structure des fichiers : Cette liste contient la structure des fichiers numérisés; tous les fichiers comprennent une mention des licences qui les régissent. Pour voir si une licence a été « trouvée dans le fichier » ou est « héritée par la convention », survolez la bulle du titre de la licence.

Comment fonctionne l’outil d’analyse de code Osler et en quoi est-il différent des outils offerts par les cabinets professionnels d’audit de logiciels ouverts?

L’outil d’analyse de code Osler analyse votre code source local pour y repérer des logiciels qui auraient été inclus par suite de l’utilisation de code source ouvert. L’outil dresse ensuite la liste des licences qui présentent les risques les plus élevés.

L’outil d’analyse de code Osler ne compare pas le code source à une base de données sur le code source ouvert connu (ce que font certains cabinets d’audit de logiciels ouverts). L’outil examine plutôt le code source comme le ferait un développeur de logiciels : en vérifiant comment les licences sont mises en application en fonction des conventions adoptées par la communauté des logiciels ouverts.

L’outil analyse les licences complètes ou des références à des licences dans les 700 premières lignes ou dans les 75 000 premiers octets d’un fichier (en anglais seulement).

Il détermine ensuite si une licence fait partie des catégories « trouvée dans un fichier » ou « implicite par convention » et quel en est l’effet sur un fichier selon les règles d'héritage.

 

Règles d'héritage

  • Seuls les fichiers sources (p. ex., un fichier ayant le suffixe .cpp) peuvent hériter des licences.
  • S’il n’y a aucune licence dans le fichier source, il « hérite » ses attributs de code source ouvert d’autres fichiers qui contiennent le texte intégral de la licence. Pour qu’ils puissent être détectés, ces fichiers sans code source doivent se trouver dans le même répertoire que le fichier source.
  • Seules les licences complètes dans un fichier non-source (p. ex., un fichier nommé LICENSE) s’appliquent à tous les fichiers et à tous les dossiers qui se trouvent dans le même répertoire.
  • Toute licence détectée dans un fichier source s’applique à ce fichier et annule toute licence qu’il a héritée.

Quelles sont certaines des limitations de l’outil d’analyse de code Osler?

L’outil d’analyse de code Osler a les mêmes limitations (et est conforme aux normes de codage classiques) que tout logiciel d’analyse syntaxique :

  • Seuls les fichiers pouvant généralement contenir une licence sont vérifiés.
  • Pour que les licences complètes puissent être détectées, les fichiers de licence doivent être identiques mot pour mot aux licences officielles trouvées sur leur page d’accueil officielle, avec cependant une certaine tolérance quant à la variation des caractères non alphanumériques.
  • Certains fichiers qui sont conçus pour décrire la mise en application des licences (p. ex., les fichiers .inc et .bb) doivent être lus manuellement, car l’outil n’en fournit pas l’interprétation.
  • Si un fichier désigne d’autres fichiers sous une certaine licence, le premier fichier est considéré comme visé par cette licence, mais pas les autres fichiers.
  • Les licences considérées doivent se trouver dans le contenu du fichier et non dans le nom du fichier.
  • Seul le texte est pris en compte. Les images ainsi que les fichiers audio et vidéo ne sont pas vérifiés.
  • Seul le texte brut est pris en charge; les documents tels que les fichiers HTML sont analysés sous forme de texte brut et non de contenu restitué.