Home - code.gouv.fr

Au niveau juridique :

Les licences des dépendances appelées par votre code source.
Les licences des codes sources modifiés et/ou améliorés par votre code.
Quelles licences pouvez/voulez-vous utiliser pour votre code ?
Vos licences choisies sont-elles bien déclarées dans votre code (cf. les conventions de reuse.software) ?

Au niveau de la sécurité :

Est-ce que l’historique Git de votre dépôt contient des données sensibles ?
Avez-vous testé les éléments de sécurité de votre code ?

Pour ce qui est de la documentation :

Avez-vous une documentation pour l’utilisateur final ?
Avez-vous une documentation pour l’administrateur système ?
Avez-vous une documentation pour les contributeurs ?

Vous pouvez interroger vos collègues et votre direction pour savoir si vous disposez d’une forge et/ou de comptes d’organisation dédiés où publier vos codes sources.

Non, il n’y a pas d’obstacle légal à la publication des codes sources d’une administration sur github.com ou gitlab.com.

Vous pouvez vérifier sur cette liste si votre organisme public déploie une forge et si oui, contacter les personnes en interne qui pourront vous aider à y publier vos codes sources.

Non. Vous pouvez consulter à ce sujet nos propositions sur les degrés d’ouverture.

Oui. Dans ce cas, indiquez bien dans le fichier README.md que le code source n’est plus maintenu.

Si le contrat prévoit que le prestataire cède ses droits patrimoniaux sur le code source développé pour une administration, il est obligé de vous mettre à disposition ces codes sources.

À ce jour, gitlab.mim-libre.fr fait office de forge interministérielle.

Vous trouverez de l’aide en contactant l’un des membres de la communauté BlueHats.

Adopter les bonnes pratiques dès la création du dépôt git est crucial. Ces bonnes pratiques sont nombreuses, mais notamment utiliser des variables d’environnements pour les secrets plutôt que de les écrire noir sur blanc dans les fichiers commités est un bon réflexe.

TruffleHog sous licence AGPL
Gitleaks sous licence MIT
Detect Secrets sous licence Apache 2
Gitgardian sous licence MIT

Si vous avez identifié les porteurs de ces projets, envoyez leur un mail pour les mettre en contact en ajoutant contact@code.gouv.fr en copie.

ecosystem.code.gouv.fr déploie le logiciel libre ecosyste.ms pour collecter des données sur les forges où sont publiés des dépôts d’organismes publics.

Publier un logiciel libre déjà développé

Quels points vérifier avant d’ouvrir un code source existant ?

Qui peut m’aider à publier les codes sources de mon organisme public ?

Est-il interdit de publier ses codes sources sur github.com ou gitlab.com ?

Quelle forge dois-je choisir pour publier mes codes sources ?

Suis-je obligé de permettre la contribution sur mes dépôts ?

Puis-je publier un code que je ne maintiens plus ?

Le prestataire doit-il m’envoyer le code source qu’il a développé pour moi ?

Existe-t-il une forge interministérielle publique ?

Pouvez-vous m’aider à utiliser Git ?

Comment détecter et effacer des secrets dans mon historique Git ?

Deux administrations développent la même chose, que faire ?

À quoi sert la plateforme ecosystem.code.gouv.fr ?