Продолжаю тему с разбором изменений в лицензионной политике Elastic — компании-разработчика стека ELK, которая отказалась сотрудничать с российскими организациями, а до этого поменяла условия распространения поисковой системы и хранилища Elasticsearch, а также интегрируемого средства анализа и визуализации данных Kibana.

Три месяца назад HashiCorp взяли похожий курс на защиту от конкурентов и коммерциализацию ранее полностью открытых продуктов, в том числе Terraform для управления ИТ-инфраструктурой в формате Infrastructure-as-Code и Vault для управления сертификатами, токенами доступа и другими «секретами». Однако, если сравнивать с Elastic, руководство HashiCorp выбрало несколько иной подход и тип лицензии.

Разбираемся, что к чему, как реагирует сообщество, и на что обратить внимание компаниям с точки зрения стратегического развития своих ИТ-продуктов.

Из университета в облако

Основатели HashiCorp — Митчелл Хасимото (Hashimoto Mitchell) и Армон Дадгар (Armon Dadgar) — во второй половине нулевых проходили обучение в Вашингтонском университете. «U-dub» («dub» — сокращение от «дабл ю» в аббревиатуре UW, University of Washington) — это одно из старейших и ведущих высших учебных заведений в мире, по образовательным ступеням которого одномоментно идут более сорока тысяч человек. Среди выпускников — Фил Спенсер, Ник Сабо и другие известные личности из мира ИТ.

Что интересно, кампус U-dub в Сиэтле обладает собственной «Красной площадью» с примечательным «Сломанным обелиском». Однако действительно уникальными это место и город делают сотни технологических стартапов и ИТ-компаний, в том числе сотрудничающие с вузами. История знакомства основателей HashiCorp — Митчелла и Армона — как раз связана с подобным исследовательским проектом.

Армону нужно было реализовать multi-cloud-решение, которое предоставило бы научным сотрудникам доступ к облачным вычислительным ресурсам. Однако в 2008-м в формате платформы была доступна лишь AWS, а Microsoft и Google только готовились запускать альтернативы, хотя и выделяли ресурсы U-dub. Специалистов с опытом работы с облаком в городе было мало, а грантового финансирования проекта хватало разве что на привлечение обучающихся на младших курсах. Одним из студентов, заинтересовавшихся задачей и откликнувшихся на рассылку научного руководителя Армона, был Митчелл.

Тогда коллеги так и не смогли в полной мере реализовать задуманное и доработать до готового вида проектный программный продукт (его называли Amped), однако выявили множество актуальных проблем. Именно они легли в основу разработок HashiCorp, но только через четыре года, когда организации и стартапы начали массово переходить в облако и сталкивались со сложностями, которые были знакомы Митчеллу и Армону.

Планы на будущее

До основания HashiCorp в 2012-м коллеги успели переехать в Сан-Франциско и поработать там в компании, занимавшейся мобильной рекламой. Они хорошо понимали устройство технологического сообщества города, напоминавшего экосистему Сиэтла, но с чуть большим акцентом на стартапы. Последние во многом первыми продемонстрировали зарождающийся спрос на cloud-native решения инструменты для работы с облаком. Тогда Митчелл первым покинул организацию-работодателя, открыл HashiCorp и сосредоточился на развитии уже имевшихся в него наработок по теме, а Армон присоединился к нему чуть позже.

Как говорят представители венчурной фирмы Mayfield, вложившей около 10 млн долларов в развитие компании, коллеги выбрали open source подход к распространению решений в силу того, что сами учились на общедоступных руководствах, туториалах и пользовались открытыми инструментами. Однако планы по коммерциализации они начали прорабатывать еще в 2014-м, как раз в момент заключения сделки с Mayfield, когда — помимо линейки открытых продуктов — потребовалась финансовая модель, позволяющая отбить инвестиции.

Партнеры также помогли основателям привлечь руководителя с существенным опытом работы в Microsoft, VMware, Hortonworks и GitHub, в том числе чтобы разгрузить их от операционки. Всего за три года команда разработала шесть ключевых продуктов: от средства для конфигурирования виртуальной среды Vagrant до Terraform для управления инфраструктурой в формате IaC. Решения обрели поддержку в ИТ-сообществе, и (чтобы ускорить развитие) руководство сделало ставку на дистанционку и расширение штата специалистами из других стран: Канады, Австралии, Индии и европейских государств. К выходу на IPO в 2021 году в HashiCorp уже работало около полутора тысяч сотрудников.

Open source стратегия

Распространять ИТ-продукты под open source лицензией, конечно же, выгодно с точки зрения обучения аудитории. Подход позволяет снизить затраты на продвижение — быстрее привлекать первых клиентов и без дополнительных затрат наращивать их число, позволяя аудитории самостоятельно находить, знакомиться и полноценным образом использовать программные решения. Так, потенциальные заказчики платных услуг зачастую еще и дают обратную связь, говорят о своих потребностях и о том, что можно было бы улучшить с их точки зрения, фактически обеспечивая бесплатный кастдев.

Однако открытые продукты должны быть в достаточной степени готовности, чтобы действительно заинтересовать специалистов, которые в последствии могли бы объяснить руководству целесообразность платного использования тех или иных решений — например, в формате платформы или экосистемы продуктов, как у HashiCorp. Такой подход подтвердили сами основатели в своем пресс-релизе:

«Мы делаем ставку на прозрачность решений и убеждены, что открытый код удобнее изучать и использовать в деле. Также мы развиваем сообщество и экосистему смежных продуктов…

Более десяти лет мы открыто распространяли программное обеспечение, что позволило нам привлечь множество контрибьютеров, партнеров и заказчиков. Тысячи компаний используют наши продукты для управления бизнес-критической инфраструктурой, что дает нам возможность ежегодно тратить десятки миллионов долларов на исследования и разработки, связанные с расширением возможностей линейки сервисов HashiCorp, а также развивать сообщество.

Однако некоторые вендоры коммерциализируют разработки на основе открытых решений без оглядки на вклад сообщества и не оказывают ему поддержку. Мы считаем, что такой подход не соответствует духу open source… Поэтому мы убеждены в том, что коммерческие модели открытого программного обеспечения требуют совершенствования»

Контекст мелким шрифтом

За месяц до ввода новых лицензий на официальной странице с информацией об истории HashiCorp можно было найти слова о том, что компания будет и далее распространять свои решения в open source формате. Однако после выхода пресс-релиза об изменениях лицензионной политики страницу отредактировали (сохраненная версия доступна здесь). Также за пару месяцев до этих событий в компании прошли сокращения. Резиденты Hacker News предположили, что ситуация коснулась 8% от общего числа сотрудников компании, и речь идет об увольнении не менее двух или трех сотен специалистов.

Есть мнение, что такое решение было вызвано неутешительными финансовыми результатами, на которые руководство публичных ИТ-компаний все чаще реагирует подобным образом. Вместе с этим в тредах по теме можно встретить высказывания о том, что уровень компетенций топ-менеджеров технологических компаний сегодня оставляет желать лучшего. Комбинация этого фактора с неудачными и слишком частыми стратегическими маневрами может привести к тому, что ведущие ИТ-фирмы в скором времени с высокой вероятностью станут аутсайдерами рынка.

Примечательно, что за два года до последних событий Хасимото ушел с должности CTO — окончательно передал операционное управление коллегам и сосредоточился на инженерных задачах, оставаясь штатным сотрудником фирмы. Таким образом он снял с себя ответственность за любые решения руководства.

Больше мнений

Переход с MPL 2.0 на Business Source License 1.1 (BSL или BUSL) коснулся ключевых продуктов компании за исключением API, SDK и ряда библиотек, которые HashiCorp продолжила распространять в OSS-формате. Резиденты Hacker News были удивлены тем, что в фирме не выбрали copyleft-лицензию вроде AGPL или SSPL (ее модификацию) и ужесточили контроль за коммерческими разработками на основе своих продуктов.

Также в комментарии The Register основатель венчурной фирмы OSS Capital, инвестирующей исключительно в open source разработки на ранних этапах развития, рассказал, как еще до появления HashiCorp его партнер с многолетним опытом в сфере защиты интеллектуальной собственности Хизер Микер (Heather Meeker) разработала первую редакцию BSL-лицензии. Поэтому в фирме хорошо понимают решение HashiCorp, хотя и подчеркивают, что AGPL — была бы неплохим вариантом, в том числе для Elastic и Mongo. При этом сама венчурная фирма предпочитает не инвестировать в source available.

На российском рынке — анализ и детализация условий лицензионных соглашений — один из топовых приоритетов ИТ-компаний сегодня. Зачастую им необходимо быть в Едином реестре российского программного обеспечения, но приобретение такого статуса в отсутствие детальной проработки условий лицензирования сторонних программных компонентов — немыслимо. При этом, конечно, пристальное внимание традиционно уделяется коммерческим продуктам, но специфика современной ситуации в том, что и далеко не всякий сегодняшний open source компонент остается таковым завтра.

Если говорить о ситуациях, когда компании сталкиваются с санкциями, то возможность использования решений, которые были ограничены в продаже вендорами, была закреплена в Указе Президента РФ от 27 мая 2022 г. № 322 «О временном порядке исполнения обязательств перед некоторыми правообладателями». Указ предусматривает возможность продолжения эксплуатации такого ПО без нарушения исключительных прав иностранных правообладателей, при условии наличия действующего лицензионного договора и соответствия правообладателей ПО критериям, установленным Указом.

Для использования механизмов Указа необходимо:

а) проверить правообладателя — он должен соответствовать одному из вариантов описания, приведенных в п. 1 Указа, и не относиться к исключениям, предусмотренным п. 16, п. 17в;

б) проверить договор и суммы платежей — не должны относиться к исключениям, предусмотренным п. 17а, 17б Указа;

в) открыть специальный счет типа «О» на имя правообладателя в уполномоченном банке (может осуществляться без участия и согласия правообладателя).

г) осуществлять оплату установленного договором вознаграждения на специальный счет типа «О».

При соблюдении вышеописанных условий у лица, оплачивающего вознаграждение правообладателю, сохраняется его право на использование результата интеллектуальной деятельности и (или) средства индивидуализации на ранее применимых условиях.

Алина Акиншина

генеральный директор «Онлайн Патент», патентный поверенный Российской Федерации №1733

Такой переход сложно считать соответствующим духу открытого программного обеспечения, который годами продвигали представители HashiCorp, хотя в FAQ по теме в подобном ключе они теперь ссылаются исключительно на свои все еще открытые библиотеки и SDK. Конечно же, критика решения о смене лицензий ожидаемо содержит множество отсылок к ситуации с Elastic, по итогам которой многие перешли на OpenSearch и альтернативы поисковой системы Elasticsearch.

На HN пресс-релиз HashiCorp разобрали на цитаты и подчеркнули, что фирма опиралась на целый спектр открытых и бесплатных разработок как минимум на первых этапах существования, а теперь поменяла свое видение возможностей для конкуренции и сделала ставку на коммерциализацию. Подобное решение скорее всего отпугнет многих разработчиков от экспериментов с продуктами компании.

Мы в команде разработчиков iFORA поддерживаем использование действительно открытых решений и в целом стараемся строить наши системы только на основе OSS-продуктов. История развития систем обработки и анализа больших данных еще со времен разработки Hadoop, Spark, Solr, OpenSearch, фреймворков и библиотек для моделирования — sklearn, pytorch, XGBoost, CatBoost — показывает, что эти продукты конкурентны, широко распространены, хорошо используются и поддерживаются индустрией. Однако не секрет, что есть открытые проекты, разработка которых, частично или полностью идет за счет средств ИТ-гигантов, но существуют и те, которые поддерживают исключительно энтузиасты, что ценно.

При этом мы держим руку на пульсе и отслеживаем изменения в лицензиях вендоров вроде Elastic, HashiCorp и других разработчиков открытого ПО.

Дмитрий Загорулькин

заместитель директора Центра стратегической аналитики и больших данных ИСИЭЗ НИУ ВШЭ

Также опытные контрибьютеры напомнили коллегам о том, что вендоры, работающие по open source модели, используют Contributor License Agreement (CLA). Соглашение позволяет им коммерциализировать видоизмененные продукты без каких-либо компенсаций сторонним разработчикам, предложившим правки и дополнения. Также CLA допускает свободную смену условий распространения решений, чем уже воспользовались коллеги HashiCorp из MongoDB и Elastic.

Своими словами

В HashiCorp говорят, что консультировались с экспертами и представителями рынка в ходе подготовки к смене лицензии и ссылаются на опыт коллег, сделавших аналогичный шаг для усилении корпоративного контроля за коммерциализацией разработок. Это — Couchbase (перешли на BSL в 2021-м), Cockroach Labs и Sentry (обе — в 2019-м), а также MariaDB, которая внедрила BSL одной из первых.

Компания заявила, что продолжит сотрудничать с облачными провайдерами на индивидуальной основе, плюс — переход на BSL не ощутят корпоративные клиенты и текущие партнеры-разработчики интегрированных продуктов, которые сотрудничают с HashiCorp на персонализированных условиях. Остальным стоит изучить новые ограничения использования Terraform, Packer, Vault, Boundary, Consul, Nomad, Waypoint и Vagrant (актуальные версии можно посмотреть здесь).

Какие-либо ограничения не будут распространяться на предыдущие релизы и фактически не затронут тех, кто использует данные продукты для решения внутрифирменных и личных задач, а также осуществляет консультационную деятельность, связанную с развертыванием решений на инфраструктуре клиентов. Вместе с этим BSL не запрещает использовать инструменты HashiCorp для разработки альтернативных средств, например, аналоги Vault можно проектировать с применением Terraform и других инструментов компании.

При этом условия не позволят использовать возможности условного Terraform или иного продукта, распространяемого по BSL, в рамках конкуренции с решениями HashiCorp в формате облачного сервиса или со встраиванием существенной части оригинальных разработок. Под «встраиванием» здесь подразумевают необходимость скачивания и/или доступа к существенной части решения или решений HashiCorp в ходе функционирования «конкурирующих» инструментов. Такой формат — как и модификация BSL-кода для распространения в измененном формате лицензирования (например, Apache или MPL) — не допускаются.

Вендоры, которые в настоящий момент совершенствуют конкурирующие продукты с применением Terraform, Packer, Vault, Boundary, Consul, Nomad, Waypoint и Vagrant теперь не будут получать обновления и патчи. Под «конкурирующими» фирма понимает платные решения, возможности которых существенным образом пересекаются с инструментами HashiCorp. Но при этом есть полезная оговорка: с вводом нового функционала компания не будет считать «конкурирующими» разработки, которые на момент их публикации не подпадали под такую категорию.

Не все так плохо

Представители компании считают, что copyleft-подход в их ситуации не является оптимальным, а скорее более требовательным с точки зрения пользователей. Это — одно из ключевых отличий от стратегии лицензирования, выбранной Elastic.

Вместе с этим компания предоставляет так называемые «гранты на использование», позволяющие разработчикам близких по своей сути и интегрированных решений спокойно себя чувствовать, формально находясь в «серой» зоне BSL. Обсуждать условия нужно в индивидуальном порядке, но это — второе заметное отличие и более явный механизм по сравнению с Elastic.

Также не стоит забывать, что условия BSL распространяются на разработки HashiCorp лишь в течение четырех лет с момента релиза кода. Далее в действие вступает Mozilla Public License v2.0 (пункты Change Date и Change License). Это — третье отличие от того, что мы видели в истории с лицензиями Elasticsearch и Kibana, где смена лицензии с ходом времени условиями не предусмотрена.

Некоторые резиденты Hacker News называют такой подход сбалансированным и объясняют критикам, что BSL — неплохой вариант для защиты от агрессивной конкуренции и контроля над коммерциализацией разработок. Однако в целом open-source-комьюнити реагирует иначе и действует с точки зрения защиты своих интересов — пытается сохранить полностью открытые наработки в общем доступе.

Так, через пару недель после анонса смены лицензии появился публичный форк Terraform под названием OpenTF (сейчас переименован в OpenTofu), и всего за месяц его взяли под свое крыло Linux Foundation. OpenTofu распространяют по лицензии MPL 2.0, а инициативу по его развитию поддерживает целый спектр компаний, предлагающих смежные решения, например, разработчики IaC-инструментария Spacelift. Также в треде с новостью о смене лицензии HashiCorp отметился основатель открытого проекта Pulumi, позволяющего использовать универсальные конфигурации для IaC. Pulumi — с 18 тыс. звезд на GitHub — выделяют в качестве одной из возможных альтернатив для Terraform.

Если говорить об альтернативах для продуктов HashiCorp вроде Vault, то здесь вариантов не так много. Например, есть Infisical — это активно развивающееся решение, и мы внимательно следим за его разработкой.

Также стоит сказать, что если вы используете облачную инфраструктуру, то практически у каждого провайдера есть своя альтернатива хранилища секретов. Для AWS — это AWS Secrets Manager, для Яндекс Облака — Yandex LockBox.

Однако всегда стоит внимательно смотреть на условия лицензии, чтобы удостовериться в том, что определенное решение подойдет для ваших задач.

Дмитрий Загорулькин

заместитель директора Центра стратегической аналитики и больших данных ИСИЭЗ НИУ ВШЭ

Что дальше

Тренд на коммерциализацию open source решений действительно набирает обороты. Разработчики востребованных открытых продуктов все чаще ограничивают функционал общедоступных версий и переходят к более плотному контролю над возможностями для проектирования производных и смежных инструментов на основе своих OSS-наработок.

Ситуация во многом связана с ростом мирового рынка облачных платформ, которые активно опираются на возможности открытых решений и зачастую предоставляют их своим клиентам в формате managed service. Такое положение дел устраивает далеко не всех вендоров открытого программного обеспечения, поэтому помимо смены лицензий они все чаще напрямую договариваются с «облачниками» об условиях использования.

Увидим ли мы в такой обстановке продолжение «эффекта лицензионного домино» — лишь вопрос времени. Поэтому — с точки зрения стратегического развития ИТ-решений и обновления технологического стека — самое время для аудита и предварительного выбора альтернатив популярных open source инструментов, на которых построены ваши бизнес-критические сервисы и приложения. Если все-таки вам придется столкнуться с ситуацией, когда вендор внезапно переводит компоненты вашего стека в статус source available (примеры таких лицензий помимо Business Source License и Elastic License), у Cloud Native Computing Foundation есть небольшой гайд на этот счет с доп. ссылками (помимо рекомендаций о замене или временной заморозке на OSS-версии компонента).

Для желающих глубже погрузиться в анализ ситуации с HashiCorp и оценить возможное влияние смены лицензии на сторонние разработки есть этот тред. Для специалистов не из ИТ и тех, кто хотел бы разобраться, например, с OpenTofu (форк Terraform), есть доступное шуточное интервью с самим инструментом.

>> В качестве доп. чтения по теме — разбор кейса с сменой лицензий составляющий стека ELK и избранные материалы для проектирования технологических продуктов.

>> @HDDimon и @AkinshinaA — спасибо за комментарии к материалу!