Bonjour Meewan,
Merci pour ton avis enrichissant
On part du principe qu’un CHATONS va obligatoirement héberger au moins un service. Ce service ne sera très probablement pas un site statique et pourrait même stocker des données personnelles.
Effectivement, cela nécessite un minimum de compétences (bien que le travail consiste juste en l’ajout de quelques lignes dans un fichier de configuration), tout comme l’hébergement d’un service, ou même d’un site web statique. Pourtant, la mise en place d’une connexion HTTPS nous semble assez indispensable en 2020, même pour un site statique, pour limiter la quantité de données interceptées par un tiers (personne en réseau, gouvernement, etc.).
Et quitte à mettre en place HTTPS, autant le faire comme il faut C’est tout l’avantage de pouvoir se faire auditer par d’autres membres du collectif, on vous accompagne dans cette démarche, on vous aide à respecter ces bonnes pratiques.
Tu as tout à fait raison, mais cette liste de critères reflète avant tout la Charte.
Section « Ouverts », critère requis :
le CHATON s’engage, sur demande, à fournir la liste des paquets installés sur les serveurs hébergeant les services fournis aux utilisateurs et utilisatrices ;
Comme tu l’as souligné, si la structure candidate conteneurise ses applications, ça n’a plus de sens. Mais on essaye de couvrir un cas d’utilisation général ; si la configuration de la structure candidate sort de l’ordinaire, il reviendra aux membres qui effectueront l’audit de demander des renseignements supplémentaires.
Certaines membres du collectif ont littéralement effectué un dpkg --list
et publié le résultat sur leur site web. Même avec 10 VMs, ça devrait se faire À la limite, en masquant les numéros de version des paquets.
En tout cas je suis d’accord que la pertinence de ce critère est discutable, mais ce débat porte sur la légitimité de la Charte, pas de cette liste de critères.
~Neil