Pourquoi personne ne paie pour un logiciel de base de données open source ?

**Mat.M** · 01/04/2020, 15h33

Envoyé par Sodium

Quand une personne possède la signature la plus prétentieuse de l'histoire du web, multiplie les arguments d'autorité, met en avant ses articles, ses bouquins pour au final prouver qu'elle n'est pas plus compétente qu'un amateur sachant utiliser Google, ça mérite un minimum de moquerie. On dirait un personnage de Molière

les discussions à l'infini pour faire la distrinction entre le bien et le mal ça va bien un moment mais ça n'a pas du tout sa place dans le monde de l'entreprise.

C'est pas de la complaisance de ma part mais le livre de Mr SQL-Pro doit obligatoirement être en place dans toute direction des services informatiques digne de ce nom,connaissant le sérieux et le professionnalisme de ce membre du forum.
D'ailleurs si la nécessité de commander ce livre se présente je ne manquerais pas de le faire.

**redcurve** · 03/05/2020, 19h35

La réponse est simplement que l'open source détruit la valeur ajoutée, pour la réduire à exactement 0 ceci grace au travail gratuit. Quand tu as des centaines voir des milliers de personnes en auto esclavage et donc produisent gratuitement la valeur ajoutée est donc de 0.

C'est exactement comme si nous avions une machine capable de fabriquer n'importe quoi à partir de l'énergie ambiante, les produits ne vaudraient plus rien, l'énergie étant infinie et la machine pouvant fabriquer un nombre illimité de copie d'elle même.

**Sodium** · 04/05/2020, 06h45

Tous ces salauds de gens qui travaillent par passion plutôt que par appat du gain, coupons-leur la tête

**JPLAROCHE** · 05/05/2020, 17h20

Bonjour , J'ai par deux fois utilisé du code open-source en entreprise, et je remercie encore ceux qui l'on fait, cela permis à l'entreprise (450 prs) de ne pas perdre pied pas pour des questions de gestion mais de métier qui c'est trouvé bouleversé.

Aujourd'hui à la retraite je produis du code pour participer à un écosystème et laisse gratuitement à disposition.

Je n'ai pas l'impression de prendre le travail de quelqu'un d'autre mais au contraire lui permettre de travailler parce quand ayant une solution de nouveaux horizons s'ouvrent. Je peux passer 1 mois pour 650 lignes de codes sans barrières de temps ni de stress pour une lib ni d'obligation de résultats seulement trouvé une solution correcte à un problème récurant dans une branche de l'informatique.
et surtout passer beaucoup de temps à lire consulter ce qui a été fait afin d'en tirer parti et ça c'est en plus du codage. Le maitre mot serait sans contraintes. Difficile à réaliser en entreprise .

**SQLpro** · 11/06/2020, 17h39

Une des raisons, qui explique aussi le "non paiement" des logiciels open source est leur mauvaise qualité...

L'étude RiskSense de 2020 :
https://cdn2.hubspot.net/hubfs/58400...OpenSource.pdf
basée sur les statistiques collectées en 2019, pointe du doigt plusieurs facteurs en défaveur des bases de données OpenSource;
1) MySQL est le 2e logiciel le plus vulnérable au monde
2) PostGreSQL est le logiciel opensource le moins réactif pour la correction des vulnérabilités (246 jours en moyenne)

D'autre logiciels de bases de données sont aussi dans le panel des 10 plus médiocres dans ce domaine :

MongoDB
ElasticSearch

A +

**Sodium** · 11/06/2020, 19h40

Non mais vraiment, faut pas te sentir obligé de déterrer le topic régulièrement pour venir y dire de la merde

Invité · 11/06/2020, 21h57

Envoyé par SQLpro

Une des raisons, qui explique aussi le "non paiement" des logiciels open source est leur mauvaise qualité...

L'étude RiskSense de 2020 :
https://cdn2.hubspot.net/hubfs/58400...OpenSource.pdf
basée sur les statistiques collectées en 2019, pointe du doigt plusieurs facteurs en défaveur des bases de données OpenSource;
1) MySQL est le 2e logiciel le plus vulnérable au monde
2) PostGreSQL est le logiciel opensource le moins réactif pour la correction des vulnérabilités (246 jours en moyenne)

D'autre logiciels de bases de données sont aussi dans le panel des 10 plus médiocres dans ce domaine :

MongoDB
ElasticSearch

A +

Sérieux ? Mais tu nous prends vraiment pour des crétins décérébrés !

Il y a des CVE dans les projets open-source et c'est une société qui vend de la sécurisation qui dit ça... Bon sang mais quelle surprise ! Et les softs de grosoft, tu crois vraiment qu'ils n'ont pas de failles ?

OMG postgres met 250 jours à corriger ses CVE... sauf qu'il n'y en a que 47 dont seulement 2 sont vraiment exploitables... Tu as regardé en combien de temps ces 2 CVE ont été corrigés ? Et de quelle version on parle ? On utilise rarement les dernières nightly builds en prod...

**dadoonet95** · 12/06/2020, 06h44

Envoyé par redcurve

La réponse est simplement que l'open source détruit la valeur ajoutée, pour la réduire à exactement 0 ceci grace au travail gratuit. Quand tu as des centaines voir des milliers de personnes en auto esclavage et donc produisent gratuitement la valeur ajoutée est donc de 0.

Amusant cette remarque. Pourquoi penses-tu que l'open source est du bénévolat ?
Je suis payé pour faire de l'open source.

En fait on peut voir l'open source ainsi :

Pour les besoins d'un projet, je vais écrire du code. Ce code, je vais l'héberger publiquement. Il devient réutilisable par d'autres. Pour autant, j'ai été payé par ma boîte pour écrire ce code.

**dadoonet95** · 12/06/2020, 06h59

Envoyé par SQLpro

Une des raisons, qui explique aussi le "non paiement" des logiciels open source est leur mauvaise qualité...

LOL

et comme tu cites Elasticsearch un peu plus loin, je serai ravi que tu me montres où est le code de mauvaise qualité dans le repo GitHub.

L'avantage d'avoir son code public est que tout le monde peut le lire, trouver des failles, les reporter en suivant le processus habituel et les rendre publiques une fois le correctif publié.
Un peu plus délicat à faire pour du code non ouvert.

Elasticsearch, pour reprendre cet exemple, c'est écrit à principalement par une équipe au talent absolument incroyable. L'équipe contribue par ailleurs à beaucoup d'autres projets open source comme Lucene, Jackson, Netty afin d'en améliorer le code ou d'ajouter des nouvelles fonctionnalités.

**Sodium** · 12/06/2020, 09h52

L'explication de pourquoi personne ne paie pour les bdd open source c'est qu'il n'y a pas besoin de le faire tout simplement, c'est inutile pour la grande majorité des utilisations. C'est de la faute de leurs contributeurs aussi, ils ne pensent même pas à ajouter un paywall sur des fonctionnalités essentielles, quel manque de rigueur.

Mais je conçois que ça doit être difficile à se représenter pour des gens ayant l'habitude de devoir justifier des milliers d'euros de frais de licences. Pourquoi s'embêter à chercher la solution la plus efficace et économique quand il suffit de s'en remettre à un commercial de Microsoft

Invité · 12/06/2020, 10h35

Envoyé par Sodium

L'explication de pourquoi personne ne paie pour les bdd open source c'est qu'il n'y a pas besoin de le faire tout simplement, c'est inutile pour la grande majorité des utilisations...

Oui. Ou tout simplement parce que c'est quasiment devenu un bien commun : tout le monde a intérêt à avoir un outil de base qui fonctionne et à partir duquel chacun peut développer sa plus-value.

Un peu comme les OS, les langages de programmation... et même l'air en fait : on a tous besoin de respirer donc certains respirent sans même y penser mais d'autres consacrent des moyens pour éviter de polluer voire assainir un peu l'atmosphère. Et d'autres encore vendent des masques à gaz et ont tout intérêt à polluer au passage...

**StringBuilder** · 12/06/2020, 11h16

Envoyé par SimonDecoline

Et les softs de grosoft, tu crois vraiment qu'ils n'ont pas de failles ?

SQL Server : 85 vulnérabilités depuis 1999
https://www.cvedetails.com/product/2...l?vendor_id=26

SQL Server 2017 (la plus répandue probablement) : 2 vulnérabilités
https://www.cvedetails.com/product/4...l?vendor_id=26

Toutes deux corrigées :
https://portal.msrc.microsoft.com/en.../CVE-2019-1068
https://portal.msrc.microsoft.com/en.../CVE-2019-0819

SQL Server 2019 : actuellement aucune

Bref...
https://portal.msrc.microsoft.com/en...urity-guidance

Invité · 12/06/2020, 11h33

Envoyé par StringBuilder

SQL Server : 85 vulnérabilités depuis 1999
https://www.cvedetails.com/product/2...l?vendor_id=26
...

Postgresql : 112 vulnérabilités depuis 1999
https://www.cvedetails.com/product/5...?vendor_id=336

Donc 85 c'est de la bonne qualité et 112 c'est de la mauvaise qualité ?
Et comparer du closed-source avec de l'open-source, ça n'introduit pas un léger biais ?

**Sodium** · 12/06/2020, 11h38

Cette comparaison entre open-source et closed-source n'a aucun sens. Ca ne prend en compte ni les vulnérabilités sur lesquelles Microsoft n'a jamais communiqué, ni celles qui n'ont tout simplement pas encore été découvertes. Évidemment que quand n'importe qui peut lire le code, il va y avoir plus de vulnérabilités remontées (et corrigées) ...

**transgohan** · 12/06/2020, 12h13

Il paraît normal qu'on trouvera plus facilement des CVE sur du code ouvert...
Donc le rapport 85 VS 112 est donc un faux problème.
On ne peut pas conclure car on pourrait même imaginer qu'on en trouverai plus sur SQL Server si son code était open source à ce rythme là...

Car trouver 85 CVE sur un logiciel fermé contre 112 sur un logiciel ouvert, est-ce parce qu'il y a plus de chercheur à travailler sur le second ?
Ou bien est-ce parce que leur travail est moins simple et rapide sur le premier ?
On ne saura jamais...

**SQLpro** · 12/06/2020, 12h29

Envoyé par SimonDecoline

... Bon sang mais quelle surprise ! Et les softs de grosoft, tu crois vraiment qu'ils n'ont pas de failles ?

Liste pour SQL Server :
https://www.cvedetails.com/vulnerabi...ql-Server.html

Bilan 2019 pour MS SQL Server :
nombre :2
Délai de correction moyen : 2,5 jours
Sévérité moyenne : 5,25
Sévérité maximale : 6,5

SQL Server comprends environ 10 fois plus de lignes de code que postGreSQL, notamment avec l'intégration de :

moteur BI et de l'analyse avec SSAS (SQL Server Analysis Service)
ETL avec SSIS (SQL Server Integration Service)
Outil de reporting avec SSRS (SQL Server Reporting Services)
langage R
langage Python
... (et j'en passe...)

PostGreSQL avec 47 CVE en 2019 est donc 23,5 fois moins fiable, et rapporté au nombre de lignes de code 235 fois moins fiable....

A +

Invité · 12/06/2020, 12h43

Envoyé par SQLpro

PostGreSQL avec 47 CVE en 2019

Encore une fois, c'est du fake complet. Compare des chiffres comparables. En 2019, c'est 2 CVE pour Sqlserver et 4 pour Postgresql.

https://www.cvedetails.com/product/2...l?vendor_id=26
https://www.cvedetails.com/product/5...?vendor_id=336

Envoyé par SQLpro

SQL Server comprends environ 10 fois plus de lignes de code que postGreSQL, notamment avec l'intégration de :

moteur BI et de l'analyse avec SSAS (SQL Server Analysis Service)
ETL avec SSIS (SQL Server Integration Service)
Outil de reporting avec SSRS (SQL Server Reporting Services)
langage R
langage Python
... (et j'en passe...)

Mais bien-sûr. Déjà python, c'est 9 CVE en 2019, Tu peux m'expliquer comment "Sqlserver qui intègre python" n'en a que 2 ?

https://www.cvedetails.com/product/1...endor_id=10210

**tanaka59** · 12/06/2020, 14h21

Je vais voir la chose du open source VS sous licence sous un autre angle.

> l'open source est bien pour faire du stockage ou de l'archivage de masse . On télécharge un BDD PostGreSQL ou MySQL , on claque des tables ou l'on a une logique de "cumul" dans le temps. Pas d'analyse détaillé.

> Quand on veut du traitement de masse on passe en solution payante :

Oracle
Miscrosoft SQL
Access

SAS VS Talend VS Pentaho ... Il n'y a même pas photos . Le traitement de masse via SAS permet des traitements rapides et très complexe . Donc les jointures complexes passent sans problème.

Via Pentaho arrivé à 5 000 000 de lignes c'est une horreur ...

-----

2 exemples d'analyses que j'ai pu voir en sécurité sociale (y ayant taffé) :

> traitement statistique avec du SQL via SAS sur une BDD Oracle (2 millions d'user uniques , 750 millions de lignes de logs , +/- 2000 d'instructions , +/- 500 variables) = 20h pour faire le traitement
> traitement statistique avec du SQL via SAS sur une BDD MySQL (2 millions d'user uniques , 750 millions de lignes de logs , +/- 2000 d'instructions , +/- 500 variables) = 70h pour faire le traitement

Dans le second cas la requête fut lancée à 14h un vendredi et a fini le lundi suivant vers 10/11h

----

SQLPro a entièrement la perf se paye ...

Un dernier exemple. Faites un group concat en MySQL ou alors un select min/group by ... La requête met 1h à 1h30 pour 100 000 lignes. Sur SAS un proc sort + proc transpose ... en moins de 3 secondes pour le même nombre de ligne .

L'un des gros problèmes aussi avec MYSQL c'est que le "SQL officieux" part vite en bricolage de table et de requête. Sur Oracle on a pas se problème. Il y a une différence le "prix" ...

**Sodium** · 12/06/2020, 14h30

1) Y a pas que MariaDb (car MySql c'est Oracle) comme sgbd OpenSource
2) Les gens qui s'amusent à ce genre de tests n'ont généralement pas les compétences requise pour effectuer des tests pertinents. On l'a d'ailleurs bien vu avec SQLPrétentieux et ses benchmarks perso totalement bidons.