Le 27 mai 2011 16:25, Julien Escario escario@azylog.net a écrit :
D'où ma question : le client est-il en mesure de forcer (par négo, voir par avocat) à rendre son application compatible PHP5 ? Histoire de savoir qui va devoir payer le dev pour upgrader ce soft.
S'il y a un contrat de maintenance en condition opérationnelle ou tierce maintenance applicative, et que les specs de ce contrat encadrent les obligations de correction de failles connues, alors ça se plaide.
Sinon, une fois le soft livré et sans garantie contractuelle de respect d'une norme en matière de sécurité, alors tu ne peux rien obtenir.
Par contre, le fait que des failles connues existent dans l’interpréteur ne suffit pas, il faut que ces failles soient applicables au fonctionnement de l'application et fassent que l'application ne respecte plus son cahier des charges.
Deux bémols : - Si l'application est recettée conforme, chercher le vice caché n'est pas simple, surtout si la faille existait à l'époque de la recette. - Si la mise en conformité aux spécifications est possible sans modification du code de l'appli (reverse proxy filtrant, configuration spécifique de l'interpréteur, ...) alors le prestataire est libre de la méthode à employer tant qu'il en assume les coûts et que c'est conforme aux spécifications contractuelles
En clair, quel que soit le cas de figure, il va falloir tout auditer, tout démontrer, et ça va couter un paquet de blé (et de temps de dev) car la charge de preuve t'incombe. Bref, autant ne pas perdre de temps, et à moins que l'appli ne soit monstrueusement complexe, profites en pour commencer à en migrer des bouts vers une plateforme (et langage) moins impossible à maintenir que le PHP, ce sera une meilleure utilisation du budget...
Est-ce que certains d'entre vous ont déjà eu un cas de figure similaire et comment ça s'est terminé ?
En tant que client : je me suis toujours fait baiser par le presta sauf une fois ou j'avais rédigé les annexes contractuelles moi même. En tant que presta : j'ai toujours baisé les clients. Sans exception. Mais ils l'ont cherché, à imposer du PHP ou autre plate-forme pourrie...
En aucun cas on a eu à aller en justice, donc je n'ai pas épluché toute la jurisprudence à ce sujet.
P.S. : pour la blague, le prestataire actuel ne semble avoir aucun remord à faire tourner cette appli sur un serveur mutu avec PHP 4.4.8 ...
Ben s'il n'a aucun engagement imposant le contraire, pourquoi changerait il ?