В начале января разработчик библиотек faker.js и colors.js намеренно «испортил» собственные программные продукты. Он добавил в код бесконечный цикл, который выводил в консоль бессмыслицу. В результате нарушилась работа тысяч приложений по всему миру, в том числе у крупных облачных провайдеров. Таким необычным (но крайне эффективным) образом инженер хотел привлечь внимание к проблеме финансирования и уважения к труду open source разработчиков.
Пользуясь случаем, мы решили обсудить разные точки зрения, касающиеся финансирования разработки открытых проектов.
Не самая надежная основа
Примерно девять из десяти компаний работает с открытыми инструментами. В то же время open source составляет базу мировой интернет-инфраструктуры. Так, веб-серверы Apache и Nginx использует более 60% сайтов, а Linux доминирует в облаке. Некоторые провайдеры не останавливаются на программном обеспечении и используют в своих дата-центрах открытые стандарты серверных стоек.
Концепция open source проста и понятна — тысячи разработчиков по всему миру совместными усилиями развивают проекты и следят за качеством кода. Но на практике такая модель работает не всегда. Достаточно частая история, когда FOSS поддерживает или небольшая команда энтузиастов, или «тот единственный инженер» в свободное время. Подобная модель — при не совсем аккуратном применении — несет риски для критически значимой инфраструктуры. Энтузиасты могут забросить разработку в любой момент или внести существенные изменения в код.
Ситуация, сложившаяся вокруг библиотек faker.js и colors.js, далеко не единственная. Еще в 2018 году разработчик npm-модуля event-stream передал управление репозиторием другому участнику сообщества, который внедрил в утилиту скрипт, ворующий данные криптовалютных кошельков у пользователей. Однако еще одна причина, почему FOSS не всегда может быть лучшей основой для интернет-инфраструктуры, связана с низким финансированием этого направления.
Денежный вопрос
Большинство open source разработчиков трудится за свой счет. В этом нет ничего удивительного, если речь идет о небольшом домашнем проекте. Но ситуация меняется, как только инструментом начинают пользоваться тысячи компаний по всему миру. Большая часть разработчиков денег все так же практически не получают, а уровень ответственности и репутационные риски серьезно возрастают.
Так, в конце прошлого года в библиотеке Log4j обнаружили уязвимость. Она позволяла выполнить любой вредоносный код на сервере. Команда мейнтейнеров работала круглые сутки в новогодние праздники, чтобы закрыть уязвимости, которые продолжали появляться. Но несмотря на колоссальные усилия, автора библиотеки и его команду постоянно критиковали за нерасторопность.
Cитуацию усугубляет тот факт, что корпорации и облачные провайдеры часто перепродают open source инструменты своим клиентам в SaaS-обертке, но ничего не привносят в исходных продукт. Неудивительно, что разработчики FOSS задаются вопросом, а нужно ли продолжать развивать проект, если они не получают ни признания, ни денег, ни какого-либо иного вклада в общее дело?
Можно ли исправить ситуацию
Есть мнение, что ситуацию вообще не нужно исправлять. Тот, кто решил запустить open source проект, должен был изначально понимать, на что идет. Жаловаться на недостатки финансирования и монетизацию продукта другими компаниями нет смысла — нужно было делать закрытую или ограниченную лицензию. И некоторые разработчики уже пошли по этому пути. Так поступили в Redis, изменив порядок лицензирования для некоторых модулей Redis Labs. Хотя практика встречает некоторое сопротивление в ИТ-сообществе. Есть мнение, что она противоречит духу открытого программного обеспечения.
Достаточно очевидным вариантом монетизации FOSS также являются донаты. Но таких сборов не всегда достаточно для полноценной работы. Другой выход из ситуации — привлечение инвестиций от коммерческих и государственных компаний. Но если одни считают это благом, другие — способом разрушить идею открытого программного обеспечения. Некоторые уверены, что крупные компании нарушат принципы управления сообществом и попытаются повлиять на его развитие. Достаточно вспомнить реакцию на новость о покупке GitHub.
Еще одной популярной и достаточно очевидной моделью монетизации FOSS является freemium. В этом случае базовый продукт доступен бесплатно, но пользователи могут приобрести дополнительные функции — например, эту модель применяет GitLab. Некоторые предлагают платные услуги консалтинга и обучение. Однако подобные способы подходят больше для компаний, и далеко не каждый инди-разработчик захочет продавать свой продукт, чтобы потом заниматься техподдержкой, консультациями и обрабатывать запросы покупателей, требующих внедрить «эту важную функцию» и «исправить ту нужную штуку».
А как вы думаете, нужно ли решать вопрос с компенсацией разработчикам открытого ПО, или все устроено так, как это должно быть и задумывалось изначально?
О чем мы пишем в корпоративном блоге:
Комментарии (72)
Areso
23.01.2022 01:10+10Глупо запихивать в одну статью Linux (за которым некоммерческий Foundation), Apache (за которым тоже некоммерческий Foundation), Nginx, Inc (коммерческую контору) и автора colors.js, за которым... ничего.
N-Cube
23.01.2022 07:24+1Опен сорс это не только бесплатный софт, но и бесплатные тестеры для него. Многие разработчики выкладывают продукт именно затем, чтобы его хорошенько протестировать, получить обратную связь и так далее. И это работает. В случаях проблем в составе коммерческих продуктах - можно и просто патча от корпораций подождать, не надрываясь самим авторам. А обсуждать, как тяжко (опен сорс) проектам, которые взвалили на себя бесплатную круглосуточную поддержку корпораций, и вовсе не стоит - лучше объяснить авторам, что они совсем не так опен сорс лицензии понимают, надо бы почитать лицензию своего же проекта.
davaeron
23.01.2022 15:09Многие разработчики выкладывают продукт именно затем, чтобы его хорошенько протестировать, получить обратную связь и так далее.Для тестирования и обратной связи нет никакой необходимости открывать код по GPL.
Если для тестирования обязательно нужны исходные коды, то для такого обычно используют лицензии Sources-available, а не GPL.
GPL - это не та лицензия, если вам нужно только протестировать и получить обратную связь.
N-Cube
24.01.2022 15:19Если нужен именно фидбек - то и лицензия выбирается так, чтобы заинтересовать пользователей и иметь возможность использовать сторонние патчи у себя.
0xd34df00d
23.01.2022 20:50А обсуждать, как тяжко (опен сорс) проектам, которые взвалили на себя бесплатную круглосуточную поддержку корпораций, и вовсе не стоит — лучше объяснить авторам, что они совсем не так опен сорс лицензии понимают, надо бы почитать лицензию своего же проекта.
Не у всех пофигизм вырос до достаточных размеров, чтобы в случаях вроде log4j забить и наслаждаться праздниками, а не чинить код.
N-Cube
24.01.2022 15:25Если я правильно понял, эта фича была включена патчем от корпоративных разработчиков, которые все это время преспокойно наслаждались праздниками и зарплатой, пока в опен сорс проекте бесплатно в праздники и ночами чинили их код. Лично я тут вижу только пофигизм как раз корпоративных разработчиков.
0xd34df00d
24.01.2022 19:09+2Ну да, именно. У корпоративных разрабов пофигизм отрос, у контрибьюторов-добровольцев — нет.
MAXH0
23.01.2022 10:15+4Я параноик и горжусь этим! Поэтому я не исключаю, что за этими частными случаями стоит осознанная компания по дискридетации Свободного програмного обеспечения. Нет!, безусловно, сами случаи случайны, но шумиха вокруг них поддерживается теми, кто коммитит от звонка до звонка и не пишет код на выходные. Как это было с травлей Столмана.
MicroSoft, приобретя GitHub, как мне кажется, уже записала всю эту базу кода себе в актив и рассматривает код как свою собственность. Именно с этим связаны санкции к програмисту который испортил СВОЙ код. Так же эту версию поддерживает и изначальная неразборчивость добавленого Copilot к лицензиям. Поэтому, ИМХО, GitHub пора перестать использовать как хостиг кода по умолчанию.
ИМХО если человек, работая не на гранты, выпустил код под лицензией MIT или под подобной - он сам себе злобный буратина. Лицензия должна быть максимально липкой и максимально не комерческой. Что-то вроде GNU-BY-NC.
В общем всех призываю к бдительности. Мы живем в мире где на свободу идет массовая и многовекторная атака. Без разницы, ограничили ли TOR в России путём глубокого анализа трафика или начали в Британии компанию за отмену шифрования, разрабатывают ли закон "о запрете биткойна" или сажают владельцев бирж за отмывание денег, без разницы Сачков или Макафи - всё это звенья одной цепи, на которую нас пытаются посадить. А GitHub - только одно, еще не докованное звено. Мы просто слышем стук молотков.
davaeron
23.01.2022 14:03+2GNU-BY-NC - не существует и сомневаюсь, что будет существовать когла-либо, т.к. у FSF есть определённые понятия свободного кода. Т.к. в этом случае получается правовая коллизия, когда сторонний коммитер не имеет права продать свой же код, т.е. вы отбираете у него свободу, и поэтому эта лицензия не может быть свободной.
MAXH0
23.01.2022 16:21Да знаю я! Противоречит третьему, если не ошибаюсь, из 12 пунктов. Я имел ввиду копилефт с отягощением на некомерческое использование. Ясное дело это будет несвободной лицензией.
davaeron
23.01.2022 16:42+1А! Теперь понятно, спасибо.
Если нужен копилефт с отягощением на некомерческое использование, то такая лицензия уже есть - называется Academic Public License, которая, например, используется компанией OMNeT++: https://omnetpp.org/intro/license
Т.к. сама лицензия в Public Domain, то вы можете применять её к своему программному обеспечению.
0xd34df00d
23.01.2022 20:52ИМХО если человек, работая не на гранты, выпустил код под лицензией MIT или под подобной — он сам себе злобный буратина.
Почему? Я стараюсь максимальное число своих поделий выпускать под пермиссивными лицензиями — почему я буратина?
PereslavlFoto
24.01.2022 04:31Потому что ваш собеседник, на реплику которого вы отвечаете, человек с развитой коммерческой жилкой и неразвитым пониманием общественных интересов. Он полагает, что будет только продавать, а у него будут только покупать. Случай, когда у него не хватило денег на покупку, в его жизни ещё не бывал ни единого разу.
MAXH0
24.01.2022 05:39Общественные интеренсы не состоят в том, чтобы бесплатно генерировать код, который смогут использовать корпораты в своих закрытых проектах!
MAXH0
24.01.2022 05:38Постараюсь объяснить свою позицию.
Выпустив код под подобной лицензией вы просто занимаетесь благотворительностью. Вы должны быть готовы к тому, что если ваш код "выстрелит", то вы получите только моральное удовлетворение. Об это и споткнулся Марак Сквайрс. Более того, лицензия не мешает выпустить производные этого кода уже под закрытой комерческой лицензией. А дальше возможно, что после развода проекта, юристы попытаются отжать вашу часть кода. Например так https://habr.com/ru/company/macloud/blog/561544/
0xd34df00d
24.01.2022 06:28+1Выпустив код под подобной лицензией вы просто занимаетесь благотворительностью.
Нет, я занимаюсь ровно тем, чем и хотел: пишу код, абсолютно не заморачиваясь, что с ним будет дальше.
Вы должны быть готовы к тому, что если ваш код "выстрелит", то вы получите только моральное удовлетворение.
Это норм. Я получаю только моральное удовлетворение в обмен на только заботу об отсутствии ответственности какого бы то ни было рода и чистого морального удовольствия от процесса. Для денег у меня есть работа, на которой какую-то ответственность я на себя беру.
Отсутствие ответственности — это правда очень круто. Не собирается моя библиотека новым компилятором — ну я им сам пока особо не пользуюсь, так что дошли руки на это посмотреть только через месяц после репорта, и ни у кого никаких вопросов. Что-то сделано не так, как хотелось бы кому-то ещё — снова не моя проблема, можно просто послать нафиг.
А дальше возможно, что после развода проекта, юристы попытаются отжать вашу часть кода. Например так https://habr.com/ru/company/macloud/blog/561544/
Там всё хитрее. Он начал пилить этот проект после работы в компании, которая делала проект на очень похожую тему. Вас за такое юристы не взлюбят ни в одной американской компании, независимо от того, копилефт у вас там, пермиссив или вообще всё закрыто.
MAXH0
24.01.2022 07:15+1Вот по поводу последнего, что "хитрее" тут я не согласен. Сам Replit основан на skulpt. Автор не использовал кода Replit. Там вообще 30 строчек тривиального кода.
Вот всплывает простая ситуация. Команда пилила код. Потом часть решила продаться подороже. Другие с ними не согласились и идут делать форк. Тогда продавшаяся часть травит на них юристов. Даже не продавшаяся часть может инициировать, а юридический отдел фирмы, которая купила продажных. Подобные манёвры ведут к постепенному закрытию кода. Лучше сразу обговаривать, что код будет не коммерческим - без права продажи.0xd34df00d
24.01.2022 19:08+1Автор не использовал кода Replit. Там вообще 30 строчек тривиального кода.
Я и не говорил, что он использовал код. Я говорил про идею — юристам, чтобы начать возбуждаться, достаточно этого.
Лучше сразу обговаривать, что код будет не коммерческим — без права продажи.
Ещё раз, чуваки, собравшиеся пилить код на продажу, должны сразу договориться, что код не будет коммерческим? Я на это бы посмотрел.
MAXH0
25.01.2022 07:13Безусловно, если код пилится на продажу, он должен пилиться на продажу. Причем, я полагаю, это должно явно указываться. Причем должно быть обговорено внутри команды и со сторонними участниками, как делится вклад и все такое ЗАДОЛГО до продажи. Но если код делался как социальный проект, то должна быть гарантия, что его не комерциализируют в дальнейшем.
PereslavlFoto
25.01.2022 15:13Если контент или код нельзя коммерциализировать, то есть нельзя извлекать из него пользу, тогда он бесполезен.
Свободный код и свободный контент были задуманы и созданы именно для того, чтобы можно было строить бизнес на их основе. Именно это принесло успех свободному коду и свободному контенту.MAXH0
25.01.2022 15:36Если почитать "Манифест GNU" то
“Разве программисты не заслуживают награды за творчество?”
Если что-то и заслуживает награды, то это заслуги перед обществом. Творчество может быть заслугой перед обществом, но только в той степени, в какой общество вольно использовать результаты. Если программисты заслуживают награды за создание передовых программ, то по этой же причине они заслуживают наказания, если они ограничивают пользование этими программами.
Обратите внимание, тут нет "про бизнес" и нет про коммерциализацию.
Разумеется подход, по нынешним временам, кажется наивным, но он единственно морально верный!
0xd34df00d
25.01.2022 23:44Но если код делался как социальный проект, то должна быть гарантия, что его не комерциализируют в дальнейшем.
Ну тогда надо просто взять и выбрать лицензию, не позволяющую коммерциализацию. Она, правда, не будет свободной, в основные репы дебиана вас не пустят, и всё такое, но это неважно, я так понимаю.
davaeron
23.01.2022 15:57+3А как вы думаете, нужно ли решать вопрос с компенсацией разработчикам открытого ПОДа, нужно. Раньше, до массового использования github/gitlab, это не было так очевидно, как мне кажется.
-
Я лично не вижу будущего у GPL v3 в том виде, в котором он сейчас есть.
Уже начались проблемы с тем, что SaaS vendor может использовать ПО GPL и при этом не следовать лицензии GPL и даже если код лицензирован по AGPL, где указано, что вы должны предоставить исходный код, если пользователи взаимодействют с ПО по сети, то это легко обходится просто вставив какой-нибудь прокси между AGPL ПО и пользователем.
И пока я вижу, что вместо поиска выхода из такого положения, FSF сейчас делает вид, что такой проблемы не существует.
-
Удивительно, как плохо люди понимают лицензию GPL даже в таких компаниях как Github.
Автор faker.js никому ничего не должен. Ни поддержки, ни работающей программы - ничего. Код предоставляется "как есть".
Пользователи его программы должны использовать свой форк в своём репозитории. В этом смысл GPL. А со своим репозиторием автор может делать всё, что угодно.
-
Для меня удивительно, что вообще существуют репозитории пакетов типа NPM.
Я вот смотрю на остальные репозитории пакетов свободного ПО - у них есть мейнтейнеры, которые фактически делают копию репозитория какой-нибудь программы и проверяют её работу на определённом дистрибутиве.
Мне кажется, если вы делаете коммерческое ПО на основе ПО со свободной лицензией, у вас должен быть свой личный репозиторий и свои мейнтейнеры. И всё ПО, что вы используете по свободным лицензиям, должно быть там.
Очевидно, что у Amazon, в случае использования такого подхода к пакетам свободного ПО, ничего бы не сломалось, и проблема была бы решена ещё на этапе обновления версии пакета в личном репозитории Amazon мейнтейнером.
Areso
23.01.2022 16:39Логичным развитием AGPL стала SSPL.
Ну и потом, вставить прослойку (техническую) всегда можно, но лицензия это не только про букву (а там всегда стояли - раньше веб-сервера. теперь балансировщики, и тп), но еще и про дух закона. Просто даже FSF не сильно разбегается судиться с теми, кто абьюзит свободные лицензии.
davaeron
23.01.2022 17:05Буква или дух - я думаю, что юристы MongoDB и Elasticsearch лучше разбираются в американских законах =)
FSF и не должен судиться - у FSF другая миссия. Это сама компания должна судиться в том случае, если её права нарушены. Лицензия GPL просто предоставляет ей такое право, не более. Юристы MongoDB посчитали, что в суде против Amazon с текущей лицензией у них мало шансов и они поменяли лицензию.
-
vvk78
23.01.2022 16:14+1Если бы не было open source, то мы жили бы в другом намного худшем мире. Уважаю людей которые делают по-настоящему классные вещи вроде postgres. Но лично я бы не стал заниматься open source бесплатно. Хорошо было бы иметь какую-то работающую модель монетизации: дешевые но платные лицензии, платная поддержка, донаты. Не нужно миллионов, но нужна достойная компенсация.
И думаю, что модель донатов сильно недооценена, популярные хорошие проекты вполне могли бы за их счет очень достойно вознаграждаться.
Nacreous1991
23.01.2022 16:23Что значит недооценена? Можете попробовать сделать свой open source проект, а потом посмотрите хватит ли вам донатов, хотя бы на еду
vvk78
23.01.2022 16:41В смысле? Пытались привлекать донаты и неуспешно? Или наоборот, утверждаете, что дело хорошо идет?
anmipo
23.01.2022 19:04+2модель донатов сильно недооценена
Скорее её переоценивают пользователи.
Делаю open source проект, монетизация по модели freemium. Подавляющее большинство юзеров пользуются бесплатным вариантом, поэтому я добавил донаты. За прошлый месяц получил 22 доната. Однако на каждого донора приходятся десятки (!) покупателей премиум-лицензии. То есть премиум-версия генерит в десятки раз больший доход.
Конечно, есть проекты где доноры типа Google вносят миллионы. Но большинству FOSS проектов это не грозит. Остаётся или довольствоваться донатами масштаба "на конфеты", или пилить премиум-версию и не отвлекаться на мелочи. Донаты инди-разработчика не прокормят, увы.
vvk78
23.01.2022 21:09Тут мне кажется все очень индивидуально. Где-то лучше работает премиум, где-то донаты. Википедия вот тут насбивала донатов на $100М (были статьи и на хабре о том, что они их выпрашивают на порядок больше чем нужно на поддержку их серверов). Постгресс я думаю мог бы тоже значительные суммы поднимать.
Если говорить о приземленном уровне. Вот, пример, gui tool для SQL lite www.patreon.com/db4s 450$ долларов спонсорства в месяц имеет. Вроде бы и не много, но все-таки неплохая прибавка к пенсии. Да и сделать такой продукт, наверное, не очень сложно, справится один талантливый разработчик за умеренное время. И в этом случае сложно представить как бы работала бы фримиум модель.PereslavlFoto
24.01.2022 04:33Википедия тут очень плохой пример, потому что
1) деньги собраны большие,
2) однако только на оборудование и движок,
3) однако движок пишут не так, как нужно сообществу,
4) однако сообщество ничего не получает от этих денег,
5) причём нету денег на покупку контента.
Если вам интересно в этом разбираться, давайте обсудим в личных сообщениях и напишем об этом подробное исследование?
vgogolin
23.01.2022 17:05Интуитивно, кажется правильным, что когда открытый продукт стрельнул, то автор должнен иметь некоторое вознаграждение. Одновременно с данным вознаграждением должна появляться и некоторая ответственность за проекты, которые доверяют автору. Выглядит, как условное "трудоустройство" на любимой работе. Думаю, кто-то из гигантов ближайшие пару лет пойдет в этом направлении.
qw1
23.01.2022 17:24Бизнес хочет гарантий, а это значит, полноценное трудоустройство.
Не каждый захочет переехать (до пандемии удалённая работа редко применялась).
Не каждый захочет терять контроль над проектом, ведь на работе все права на код будут у работодателя. Он может потребовать лицензировать его под двойной лицензией (для коммерческого применения отдельная). Работодатель может потребовать развивать продукт в ту сторону, как ему надо, а не как нравится автору. Так что, чаще всего — ответ «нет».
davaeron
23.01.2022 17:28+1Я видел один из выходов: Sponsorware. Вкратце, вы далаете частный проект только для споноров на Github, например, но когда количество спонсоров перерастёт некоторое значение - проект переходит в open-source.
MAXH0
23.01.2022 17:55+1>> Думаю, кто-то из гигантов ближайшие пару лет пойдет в этом направлении.
<< А я думаю, что обольщатся не стоит. В большинстве это будет просто Embrace, Extend, and Extinguish, с последующей интеграцией кода в свои закрома.
Yser
23.01.2022 21:37+1Поступок забавный, но бестолковый. Подобного рода ультиматумы очевидно не работают так как это ожидают люди без софт скиллс, типа в какой-то момент у меня проснулась жадность, дай-ка я всем об этом заявлю.
Поменяй лицензию, продавай лицензии, останови разработку, договорись с самыми большими клиентами... вариантов миллион, но мы видим только "ой, всё".
GospodinKolhoznik
23.01.2022 22:04+1Мда. Чуваку надо было поступать так, как делают крупные компании - вместо одного релиза, который ломает все сразу вносить много много маленьких релизиков, которые по чуть-чуть делают все хуже и хуже. Чтобы компании использующие его код в какой то момент сами вышли с ним на связь, - Мужик, зачем ты стал делать так плохо? Ведь раньше было ОК, а потом стало все хуже и хуже, верни как было. - Ребята, да без проблем! Если у вас есть пожелания, я открыт к диалогу, любой каприз за ваши деньги.
qw1
23.01.2022 22:26Да никто на прямой шантаж не поведётся. Заморозят версию, и всё.
GospodinKolhoznik
24.01.2022 00:12Так пока до них дойдёт, что надо замораживать версию, она успеет сильно испортиться, а откатываться на старую версию окажется так сложно, что проще будет действительно ему заплатить за необходимую доработку.
qw1
24.01.2022 08:57Это же опен-сорс, а не фиксированные блобы. Можно откатить только подпорченные куски или наоборот, накатить то что в новых версиях появилось полезного.
GospodinKolhoznik
24.01.2022 10:05Да можно в принципе самостоятельно написать весь нужный код. Вопрос лишь во времени и деньгах. Но не факт что платить своим разработчикам за то, чтобы они откатывали и переписывали испорченные куски будет дешевле. Им понадобится куча времени, чтобы въехать в задачу.
Nacreous1991
24.01.2022 01:15+1Какие-то фантазии. В реальности они просто починят его библиотеку у себя, или напишут свою. Неужели вы считаете что они упадут на колени и будут просить прощения и заваливать деньгами? Скорее всего решать что он говнокодер и его продуктом не стоит пользоваться
Тем более, как я понял чувак написал не браузерный движок, и не open cv, а достаточно несложную библиотеку для генерации фейковых данных
Ну и я не знаю что это за проекты, на которых не замораживают версию. Даже там где я сработаю, несмотря на слабый технологический уроаень, все версии библиотек прибиты руками
Nnnnoooo
24.01.2022 06:43Судя по тому сколько кода отвалилось в проде, прибивают версию далеко не все даже в больших корпорациях (говнокод он везде, и с каждым годом ситуация только ухудшается)
Nacreous1991
24.01.2022 11:15Интересно у них наверное деплоить приложение. И у этих фирм же по 6 этапов собеседования, при прочем
Nacreous1991
Я считаю что любой контрибьютор не обязан улучшать и исправлять свой продукт, если у него больше нет возможностей или желания. Но сознательная порча проекта, на который завязаны тысячи других программ должно квалифицироваться как уголовное преступление. Ну а бизнесу надо не ленится а копировать библиотеки на локальные репозитории, в которых библиотеку нельзя будет испортить
Nnnnoooo
Все зависит от лицензии. Если в ней прописано, что автор не несет никакой ответственности за причиненный ущерб, и использование проекта/приложения/либы на страх и риск пользователя, то пользователь сам себе злобный буратино, если критически важный для него бизнес завернул на это приложение/либу. Не нравится не юзай или юзай, но проверяй. Да тяжело, но никто и не говорил что должно быть легко. Хотя учитывая тенденции современной разработки фигакфигак и в продакшен, накидать 100500 репов в проект это норма и конечно же никто не проверяет что в них. Но все хотят как можно проще и на халяву.
Технически разработчик может просто полностью сломать внешнее апи в минорной версии и точно так-же у всех полностью сломается прод. Или, классический вариант "вы нипанимаите — это другое"?
Areso
Тут-то у всех бомбит не потому, что там апи поменялось в минорной версии (что бывает очень часто), а то, что по факту чувак сделал coming out. Типа вот, такой вот я, видали - съешьте. Тащем-то, право имел, но многие этот мир держащие серьезно обиделись, и даже отобрали доступы у него к его коду и его код заменили другим кодом.
Что же, не в первый раз и не в последний раз.
Nnnnoooo
Да это все понятно. Я то не поддерживаю того что сделал этот чел. Я написал все в ответ на это:
ибо это вообще дичь. Т.к. лично я когда пишу свой опенсорс, то мне абсолютно все равно кто и как будет его использовать (хотите копируйте, хотите продавайте). Но блин, если захочу удалить или испортить, то это мое право. И вот выслушивать мнения одаренных, что это уголовное преступление, лично мне совсем не приятно.
Areso
к сожалению, как показывает практика, больше не ваше.
GitHub, npm, и многие другие активно против.
Nnnnoooo
То что они против — это их дело и я их понимаю.
Но еще раз — меня просто убила фраза об уголовном преступлении.
Так же как то что они против поможет при намеренной порче API в минорной версии?
Да без явного камингаута, но зато какому-то автору-одиночке это может принести громаднейшее удовлетворение (сломал что-то этим крупным жадным корпорациям-халявщикам).
Nacreous1991
Ну т.е. по вашему если вы волонтером убрали тонну мусора, то потом вы имеете право обратно выкинуть эту тонну. Или если вы пошли волонтером на мероприятие то можете вредить, ведь это лично ваше дело? Благотворительность так не работает. Почему я тогда не имею право откатить свой PR который я создал для вашего open-source проекта?
Просто у людей есть откуда-то ощущение что если они не получают деньги то не несут ответственности
Хорошо если вы имеете право портить свой код, то имеете ли вы право сделать это в форках? Необходим ли по вашему подобный механизм у github?
Areso
Нет, в форках нельзя. Потому что это уже другой объект.
И нет, эти люди не несут. Нести должны тестировщики, безопасники, девопсеры, программисты и прочие люди на зарплате, а не рандомный Вася в интернете. Если ваше предприятие встанет из-за того, что у Васи плохое настроение - это повод ваших людей на зарплате призвать к дисциплинарной ответственности. Никак не Васю. Ас Ис, но ворронти эт олл.
Nacreous1991
Ну т.е. если в лицензионном соглашении на вирус, который отформатирует вам диск я не пишут "Ас им, но ворронти эт олл" это должно помочь мне избежать наказания?
Что значит другой объект? Почему вы считаете что имеете право портить репозитории github.com/areso/****
Но не имеете право портить мой форк на
github.com/nacreous1991/***
Nnnnoooo
Мдааа… Если даже такое приходится объяснять…
Ну так пример не из IT. Вот я к примеру имею полное право выкинуть у себя дома любую вещь, даже если она полностью рабочая (ну надоела она или просто разонравилась), но это не значит я я могу прийти к вам домой и выкинуть что-то что мне не понравилось.
Для того и сделаны форки на гитхабе — не нравится что-то сделай форк, и если хочешь чтобы было в мейнлайне делай pull request, а автор уже сам решит, нужен ему этот патч или нет.
А то получается позиция какого-то халява-наци. Типа мне все должны и на халяву.
Nacreous1991
Ну ваш дом это ваша собственность. А чужой дом это чужая собственность.
А github аккаунт не является вашей собственностью. Тем более, если он бесплатный.
Я так понял, что мы говорит про то, что автор кода имеет право удалить его или испортить, и сделать это на машинах злых корпораций и других пользователей, через механизм обновления библиотек, просто потому что ему так захотелось. И вопрос в том, имеет ли он право портить свой код в форках. Ведь он имеет там такие же авторские права, как и на своем репозитории
Nnnnoooo
Так форк на то и форк, что у него уже другой владелец и оригинальный автор ничего не может сделать с форком (только если какая-то хитрая лицензия позволяла и только при ручном обращении на удаление в техподдержку)
А код моего авторства даже если он размещен на гитхабе по умолчанию принадлежит мне, т.е. это моя собственность — независимо от того где этот код находится (ибо авторское право) и если я захочу удалить с гитхаба — гитхаб обязан это сделать. Но практически ничего не могу сделать с форками если лицензия была какая-либо из популярных свободных.
qw1
Areso
Аккаунт не является, зато код является.
qw1
3epg
Отказ от ответственности мне кажется сейчас пихают везде и это правильно. Для бесплатного ПО.
А вот те, кто перепродаёт ПО, взятое где-то бесплатно должны нести ответственность по полной, а не плакаться, что это не мы виноваты, а вон тот вот, чьи работы мы засунули в свой дистр, ничего не проверив и естественно ничего не оплатив.
Nnnnoooo
Так и я о чем же. Используете — проверяйте. А если продаете, то проверяйте вдвойне и не нойте что что-то сломалось
qw1
3epg
Если при продаже ПО сразу объявлено, что оно сляпано из разношёрстного сборища опенсорс проектов, каждый из которых имеет кучу проблем, уязвимостей и прочих бэкдоров, и работоспособность этой сборной солянки никто не проверял и проверять не будет, а также в случае какого-либо факапа продавец ни в чём не виноват, а это всё они, разработчики опенсорса криворукие, то окей. Никакой ответственности данный продавец тоже нести не должен.
Но ежели продаван заявляет о супер надёжности и работоспособности своего ПО, пусть даже и сделанного на основе опенсорса, то будь любезен в случае внезапного превращения его в тыкву, возместить и стоимость покупки, и стоимость внедрения данного ПО, и упущенную выгоду клиента в результате простоя оборудования из-за халатности продавца.
qw1
А с какой радости вы верите словам продавана о «супер надёжности»? Он же не несёт за свои слова никакой ответственности. Хотите надёжности — прописывайте пункты в договоре. Хотите, чтобы продаван нёс ответственность — меняйте гражданское законодательство так, что за каждое сказанное слово любой человек отвечает… Ну, чем бы вы хотели сами отвечать за все свои слова? Имуществом? Свободой?
Areso
Тащем-то, SLA не вчера придумали. Кому надо, те его заключают, в том числе с прописанными санкциями за его не исполнение.
caballero
Кто тогда вообще опенсрсом заниматся будет. Поди докажи что это просто косяк а не намереная порча.
Nacreous1991
Ну так презумпция невиновности обязывает обвинителя доказывать.