OpenSourceForkShield
EN Demander une revue

Fork open-source B2B

Identifiez vos obligations avant que votre fork ne devienne un risque juridique, produit ou securite.

Un diagnostic operationnel pour les entreprises qui modifient, hebergent, redistribuent ou vendent un produit base sur du code open-source.

Lancer la checklist Comparer les outils
82risque
GPL
preuves source
AGPL
declencheur reseau
SBOM
CycloneDX
SCA
CVE critiques
AGPL/GPLAttributionSBOMSCAPlugins proprietairesRemediation

Ce que le diagnostic couvre

Obligations AGPL/GPL

Qualification des declencheurs: distribution, SaaS, modification, combinaison, bibliotheques, modules et acces reseau.

Code source correspondant

Verification des artefacts a fournir: source complet, scripts de build, patches, notices, instructions et methode de livraison.

Attribution et notices

Controle des licences, copyrights, NOTICE, credits tiers, mentions dans le produit, documentation et archives client.

Plugins proprietaires

Analyse des limites entre coeur open-source, extensions internes, interfaces, linking, packaging et clauses de licence.

SBOM et SCA

Inventaire CycloneDX/SPDX, dependances transitive, score de maturite SBOM et priorisation des composants critiques.

Risque securite composants

Exposition CVE, maintenabilite, abandon de projet, correctifs disponibles, forks divergents et plan de mise a niveau.

Checklist de remediation

Chaque point produit une preuve attendue et une action de remediation concrete.

  1. Cartographier les composants et licences avec version, provenance et usage produit.
  2. Identifier les obligations copyleft fortes, faibles et permissives par surface d'exposition.
  3. Verifier que le code source correspondant est reproductible et livrable aux clients ou utilisateurs.
  4. Separer les plugins proprietaires avec interfaces documentees et strategie de packaging defendable.
  5. Generer un SBOM CycloneDX ou SPDX et l'integrer au processus release.
  6. Prioriser les failles exploitables et les composants sans mainteneur actif.
  7. Preparer un rapport executif: risques, preuves, proprietaires d'action, delais et cout estime.

Comparatif SCA, SBOM et conseil OSS/legal

Le MVP classe les options par usage, pas par promesse marketing.

CategorieQuand l'utiliserLimites a verifier
SCA commercial Portefeuille produit large, CI/CD mature, besoin de politiques centralisees. Couverture licences, faux positifs, export SBOM, cout par developpeur.
SBOM open-source Equipe technique autonome, besoin SPDX/CycloneDX et controle fin des pipelines. Maintenance, UX non-juriste, qualite des metadonnees.
Cabinet OSS/legal Fork strategique, litige potentiel, diligence M&A, clauses AGPL/GPL sensibles. Delais, cout, besoin de preuves techniques preparees.
Audit securite composants Produit expose, dette dependances, pression clients ou assureurs cyber. Priorisation metier, exploitabilite reelle, remediation suivie.
Solutions SCA/SBOM Revue OSS/legal

Rapport pret pour dirigeants et equipes produit

La sortie attendue combine score de risque, obligations applicables, preuves manquantes, quick wins, actions juridiques et backlog technique. Elle sert de passerelle entre CTO, produit, legal et compliance.

Information generale, pas un avis juridique. Faites valider les decisions sensibles par un conseil qualifie.