En août 2023, HashiCorp a changé la licence de Vault de MPL 2.0 vers BSL 1.1. En réponse, la communauté a créé OpenBao, un fork maintenu par la Linux Foundation sous licence MPL 2.0 (100% open source au sens OSI).
Cette page vous aide à choisir entre Vault et OpenBao en fonction de vos contraintes techniques, juridiques et organisationnelles.
Ce que vous allez apprendre
Section intitulée « Ce que vous allez apprendre »- L’histoire du fork et les raisons de la séparation
- Les différences de gouvernance et de licence
- Les fonctionnalités exclusives à chaque solution
- Les critères de décision selon votre contexte
- Les implications d’une migration
Pourquoi deux projets ?
Section intitulée « Pourquoi deux projets ? »L’histoire du fork
Section intitulée « L’histoire du fork »Avant août 2023 : Vault était sous licence MPL 2.0, une licence open source reconnue par l’OSI. Entreprises et communauté pouvaient l’utiliser, le modifier et le redistribuer librement.
Août 2023 : HashiCorp annonce le passage à BSL 1.1 (Business Source License) pour Vault, Terraform, et d’autres produits. Cette licence restreint certains usages commerciaux, notamment la création d’offres concurrentes.
Décembre 2023 : La Linux Foundation annonce OpenBao, un fork de Vault 1.14 (dernière version MPL 2.0) maintenu par la communauté open source.
2024-2026 : OpenBao évolue indépendamment, ajoute des fonctionnalités (namespaces, améliorations auto-unseal), et construit son propre écosystème.
Ce que ça change pour vous
Section intitulée « Ce que ça change pour vous »| Si vous êtes… | Impact |
|---|---|
| Utilisateur interne | Aucun impact direct, les deux solutions fonctionnent |
| Consultant | Aucun impact, vous pouvez conseiller et déployer les deux |
| Éditeur SaaS | À évaluer selon votre modèle (voir licence BSL) |
| Attaché à l’open source OSI | OpenBao est la seule option |
Tableau comparatif complet
Section intitulée « Tableau comparatif complet »| Critère | Vault CE | OpenBao |
|---|---|---|
| Licence | BSL 1.1 (source-available) | MPL 2.0 (open source OSI) |
| Gouvernance | HashiCorp (IBM depuis 2024) | Linux Foundation / OpenSSF |
| Base de code | Développement continu | Fork Vault 1.14 + évolutions propres |
| Compatibilité API | Référence | Compatible Vault 1.14 |
| Maturité | 10+ ans, très stable | 2+ ans, en croissance rapide |
| Secrets engines | Complet (KV, Transit, PKI, Database, SSH, cloud) | Identique + évolutions |
| Auth methods | Complet (userpass, AppRole, K8s, OIDC, LDAP, cloud) | Identique |
| Namespaces | ❌ Enterprise only | ✅ Inclus depuis v2.3 |
| Auto-unseal | KMS, Transit, HSM | KMS, Transit, HSM + améliorations |
| Integrated Storage (Raft) | ✅ | ✅ |
| Replication | ❌ Enterprise only | ❌ En développement |
| MFA intégrée | ❌ Enterprise only | ❌ Non prévu |
| Sentinel | ❌ Enterprise only | ❌ Non prévu |
| Plugins | Écosystème large | Compatibilité maintenue, écosystème plus restreint |
| Intégrations cloud | Très complètes | En rattrapage, focus communautaire |
| Support commercial | HashiCorp / IBM | Communauté + vendors (Adfinis, etc.) |
| Documentation | Très complète | En construction, bonne qualité |
Approfondissement des différences clés
Section intitulée « Approfondissement des différences clés »Licence et gouvernance
Section intitulée « Licence et gouvernance »Vault (BSL 1.1) :
- Code source visible et modifiable
- Usage interne autorisé sans restriction
- Restriction : pas d’offre commerciale concurrente
- Gouvernance : HashiCorp décide seul des évolutions
OpenBao (MPL 2.0) :
- Licence open source OSI complète
- Aucune restriction d’usage
- Gouvernance : Linux Foundation, contributions communautaires
- Roadmap publique, décisions collectives
Namespaces : le point de bascule
Section intitulée « Namespaces : le point de bascule »Les namespaces permettent d’isoler complètement des environnements au sein d’un même cluster Vault/OpenBao. Chaque namespace a ses propres secrets, policies, auth methods.
| Solution | Namespaces |
|---|---|
| Vault CE | ❌ Non disponible |
| Vault Enterprise | ✅ Inclus |
| OpenBao | ✅ Inclus depuis v2.3 |
Pourquoi c’est important :
Si vous gérez plusieurs équipes ou clients sur la même infrastructure, les namespaces simplifient considérablement la gestion :
- Isolation complète entre tenants
- Délégation d’administration par namespace
- Pas besoin de déployer plusieurs clusters
Maturité et stabilité
Section intitulée « Maturité et stabilité »Vault :
- 10+ ans de développement
- Utilisé par des milliers d’entreprises
- Bugs critiques rares, processus de sécurité éprouvé
- Documentation exhaustive
OpenBao :
- 2+ ans depuis le fork
- Communauté active et croissante
- Base de code héritée de Vault, donc solide
- Moins de retours d’expérience en production massive
Écosystème et intégrations
Section intitulée « Écosystème et intégrations »Vault :
- Plugins officiels pour tous les clouds (AWS, Azure, GCP, Alibaba…)
- Intégrations natives Terraform, Kubernetes, Nomad
- Providers Ansible, Puppet, Chef
- SDKs officiels (Go, Python, Ruby, Java, .NET)
OpenBao :
- Compatibilité API Vault 1.14
- La plupart des outils fonctionnent (avec adaptation parfois)
- Contributions communautaires pour les intégrations
- Focus sur les cas d’usage les plus courants
En pratique : Si vous utilisez un plugin ou une intégration exotique, vérifiez sa compatibilité OpenBao avant de migrer.
Support et communauté
Section intitulée « Support et communauté »Vault :
- Support commercial HashiCorp / IBM (payant)
- Community forums
- Documentation officielle complète
- Formations et certifications
OpenBao :
- Communauté active (Slack, GitHub)
- Support commercial via vendors tiers (Adfinis, etc.)
- Documentation en amélioration continue
- Pas de certification officielle
Critères de décision
Section intitulée « Critères de décision »Choisissez Vault CE si…
Section intitulée « Choisissez Vault CE si… »| Critère | Pourquoi Vault |
|---|---|
| Écosystème mature requis | Plugins, intégrations, documentation exhaustive |
| Entreprise établie | Processus d’achat HashiCorp déjà en place |
| Évolution vers Enterprise | Chemin de migration naturel |
| Intégrations cloud avancées | Plugins officiels maintenus |
| Formations certifiantes | Programme de certification HashiCorp |
Choisissez OpenBao si…
Section intitulée « Choisissez OpenBao si… »| Critère | Pourquoi OpenBao |
|---|---|
| Licence OSI requise | Politique d’entreprise, choix éthique |
| Namespaces sans Enterprise | Multi-tenancy incluse gratuitement |
| Indépendance vendor | Gouvernance Linux Foundation |
| Contribution souhaitée | Projet communautaire ouvert |
| Budget restreint | Pas de coût de licence, support communautaire |
Choisissez Vault Enterprise si…
Section intitulée « Choisissez Vault Enterprise si… »| Critère | Pourquoi Enterprise |
|---|---|
| Multi-région | Replication DR et Performance |
| Compliance stricte | MFA, Control Groups, Sentinel |
| Support commercial | SLA, hotline, consulting |
| HSM seal wrap | Protection hardware des données |
| Autopilot avancé | Auto-upgrade, redundancy zones |
Grille de décision rapide
Section intitulée « Grille de décision rapide »| Votre situation | Recommandation |
|---|---|
| Petite équipe, usage interne simple | Vault CE ou OpenBao (équivalent) |
| Multi-équipes, besoin namespaces, budget limité | OpenBao |
| Politique open source OSI stricte | OpenBao |
| Écosystème HashiCorp existant (Terraform, Nomad) | Vault CE |
| Évolution Enterprise envisagée | Vault CE |
| Multi-région, DR, compliance | Vault Enterprise |
| Intégrations cloud exotiques | Vault CE (vérifier compatibilité OpenBao) |
Migration entre les solutions
Section intitulée « Migration entre les solutions »De Vault CE vers OpenBao
Section intitulée « De Vault CE vers OpenBao »La migration est relativement simple car OpenBao est compatible avec le format de stockage Vault 1.14.
Procédure générale :
- Snapshot du stockage Raft actuel
- Arrêt du cluster Vault
- Installation d’OpenBao
- Restore du snapshot
- Vérification des secrets, policies, auth methods
- Mise à jour des clients (généralement transparente)
De Vault Enterprise vers OpenBao
Section intitulée « De Vault Enterprise vers OpenBao »La migration est plus complexe :
- Le format de stockage Raft diffère (features Enterprise)
- Les namespaces Enterprise ont une structure différente
- Certaines fonctionnalités n’ont pas d’équivalent
Des vendors comme Adfinis proposent des outils et services de migration.
D’OpenBao vers Vault
Section intitulée « D’OpenBao vers Vault »Théoriquement possible, mais rarement nécessaire. La procédure inverse (snapshot/restore) fonctionne, mais vérifiez les versions API.
Coexistence et stratégie hybride
Section intitulée « Coexistence et stratégie hybride »Certaines organisations choisissent de faire cohabiter les deux :
- Vault Enterprise pour les environnements critiques (prod, compliance)
- OpenBao pour les environnements de développement et test
- Migration progressive pour évaluer OpenBao avant un basculement complet
Cette approche permet de :
- Réduire les coûts de licence
- Tester OpenBao sans risque
- Maintenir la flexibilité
L’avenir des deux projets
Section intitulée « L’avenir des deux projets »- Développement continu par HashiCorp/IBM
- Roadmap définie par HashiCorp
- Nouvelles fonctionnalités en Enterprise d’abord
- Intégrations cloud renforcées
- Gouvernance Linux Foundation / OpenSSF
- Roadmap communautaire (GitHub Discussions)
- Focus sur les fonctionnalités “core” accessibles à tous
- Namespaces, auto-unseal amélioré, robustesse
À retenir
Section intitulée « À retenir »- Fonctionnellement proches : les deux solutions couvrent les mêmes cas d’usage fondamentaux
- Licence : Vault BSL (usage interne OK), OpenBao MPL 2.0 (open source pur)
- Namespaces : Vault Enterprise only, OpenBao inclus
- Maturité : Vault 10+ ans, OpenBao 2+ ans mais base solide
- Migration : CE → OpenBao simple, Enterprise → OpenBao complexe
- Décision : technique ET politique/juridique selon votre contexte