Comments 78
Я считаю что любой контрибьютор не обязан улучшать и исправлять свой продукт, если у него больше нет возможностей или желания. Но сознательная порча проекта, на который завязаны тысячи других программ должно квалифицироваться как уголовное преступление. Ну а бизнесу надо не ленится а копировать библиотеки на локальные репозитории, в которых библиотеку нельзя будет испортить
Все зависит от лицензии. Если в ней прописано, что автор не несет никакой ответственности за причиненный ущерб, и использование проекта/приложения/либы на страх и риск пользователя, то пользователь сам себе злобный буратино, если критически важный для него бизнес завернул на это приложение/либу. Не нравится не юзай или юзай, но проверяй. Да тяжело, но никто и не говорил что должно быть легко. Хотя учитывая тенденции современной разработки фигакфигак и в продакшен, накидать 100500 репов в проект это норма и конечно же никто не проверяет что в них. Но все хотят как можно проще и на халяву.
Технически разработчик может просто полностью сломать внешнее апи в минорной версии и точно так-же у всех полностью сломается прод. Или, классический вариант "вы нипанимаите — это другое"?
Тут-то у всех бомбит не потому, что там апи поменялось в минорной версии (что бывает очень часто), а то, что по факту чувак сделал coming out. Типа вот, такой вот я, видали - съешьте. Тащем-то, право имел, но многие этот мир держащие серьезно обиделись, и даже отобрали доступы у него к его коду и его код заменили другим кодом.
Что же, не в первый раз и не в последний раз.
Да это все понятно. Я то не поддерживаю того что сделал этот чел. Я написал все в ответ на это:
Но сознательная порча проекта, на который завязаны тысячи других программ должно квалифицироваться как уголовное преступление.
ибо это вообще дичь. Т.к. лично я когда пишу свой опенсорс, то мне абсолютно все равно кто и как будет его использовать (хотите копируйте, хотите продавайте). Но блин, если захочу удалить или испортить, то это мое право. И вот выслушивать мнения одаренных, что это уголовное преступление, лично мне совсем не приятно.
испортить, то это мое право
к сожалению, как показывает практика, больше не ваше.
GitHub, npm, и многие другие активно против.
То что они против — это их дело и я их понимаю.
Но еще раз — меня просто убила фраза об уголовном преступлении.
Так же как то что они против поможет при намеренной порче API в минорной версии?
Да без явного камингаута, но зато какому-то автору-одиночке это может принести громаднейшее удовлетворение (сломал что-то этим крупным жадным корпорациям-халявщикам).
Ну т.е. по вашему если вы волонтером убрали тонну мусора, то потом вы имеете право обратно выкинуть эту тонну. Или если вы пошли волонтером на мероприятие то можете вредить, ведь это лично ваше дело? Благотворительность так не работает. Почему я тогда не имею право откатить свой PR который я создал для вашего open-source проекта?
Просто у людей есть откуда-то ощущение что если они не получают деньги то не несут ответственности
Хорошо если вы имеете право портить свой код, то имеете ли вы право сделать это в форках? Необходим ли по вашему подобный механизм у github?
Нет, в форках нельзя. Потому что это уже другой объект.
И нет, эти люди не несут. Нести должны тестировщики, безопасники, девопсеры, программисты и прочие люди на зарплате, а не рандомный Вася в интернете. Если ваше предприятие встанет из-за того, что у Васи плохое настроение - это повод ваших людей на зарплате призвать к дисциплинарной ответственности. Никак не Васю. Ас Ис, но ворронти эт олл.
Ну т.е. если в лицензионном соглашении на вирус, который отформатирует вам диск я не пишут "Ас им, но ворронти эт олл" это должно помочь мне избежать наказания?
Что значит другой объект? Почему вы считаете что имеете право портить репозитории github.com/areso/****
Но не имеете право портить мой форк на
github.com/nacreous1991/***
Почему вы считаете что имеете право портить репозитории github.com/areso/****
Но не имеете право портить мой форк на
github.com/nacreous1991/***
Мдааа… Если даже такое приходится объяснять…
Ну так пример не из IT. Вот я к примеру имею полное право выкинуть у себя дома любую вещь, даже если она полностью рабочая (ну надоела она или просто разонравилась), но это не значит я я могу прийти к вам домой и выкинуть что-то что мне не понравилось.
Для того и сделаны форки на гитхабе — не нравится что-то сделай форк, и если хочешь чтобы было в мейнлайне делай pull request, а автор уже сам решит, нужен ему этот патч или нет.
А то получается позиция какого-то халява-наци. Типа мне все должны и на халяву.
Ну ваш дом это ваша собственность. А чужой дом это чужая собственность.
А github аккаунт не является вашей собственностью. Тем более, если он бесплатный.
Я так понял, что мы говорит про то, что автор кода имеет право удалить его или испортить, и сделать это на машинах злых корпораций и других пользователей, через механизм обновления библиотек, просто потому что ему так захотелось. И вопрос в том, имеет ли он право портить свой код в форках. Ведь он имеет там такие же авторские права, как и на своем репозитории
Так форк на то и форк, что у него уже другой владелец и оригинальный автор ничего не может сделать с форком (только если какая-то хитрая лицензия позволяла и только при ручном обращении на удаление в техподдержку)
А код моего авторства даже если он размещен на гитхабе по умолчанию принадлежит мне, т.е. это моя собственность — независимо от того где этот код находится (ибо авторское право) и если я захочу удалить с гитхаба — гитхаб обязан это сделать. Но практически ничего не могу сделать с форками если лицензия была какая-либо из популярных свободных.
автор кода имеет право удалить его или испортить, и сделать это на машинах злых корпораций и других пользователей, через механизм обновления библиотек, просто потому что ему так захотелось. И вопрос в том, имеет ли он право портить свой код в форкахАвтор не может удалить или испортить код на машинах злых корпораций. Когда злая корпорация делает git clone, она делает _свой_ форк, и в своём форке может делать что угодно, в том числе портить код через git pull. Это её осознанное решение: хочет — портит, не хочет — сидит на старой версии и ничего не испортится.
И вопрос в том, имеет ли он право портить свой код в форках. Ведь он имеет там такие же авторские права, как и на своем репозиторииАвторское право не даёт возможности распоряжаться законно полученными копиями. Джоан Роулинг не может изъять свои книги Гарри Поттера из моего дома, как бы ей ни хотелось.
Аккаунт не является, зато код является.
Почему вы считаете что имеете право портить репозитории github.com/areso/**** Но не имеете право портить мой форк на github.com/nacreous1991/***Потому что так устроен GitHub, и люди пришли туда на такие правила. Не нравится — делайте свой GitHub, с любыми правилами как вам нравится и посмотрим, насколько он будет востребован.
Отказ от ответственности мне кажется сейчас пихают везде и это правильно. Для бесплатного ПО.
А вот те, кто перепродаёт ПО, взятое где-то бесплатно должны нести ответственность по полной, а не плакаться, что это не мы виноваты, а вон тот вот, чьи работы мы засунули в свой дистр, ничего не проверив и естественно ничего не оплатив.
Так и я о чем же. Используете — проверяйте. А если продаете, то проверяйте вдвойне и не нойте что что-то сломалось
те, кто перепродаёт ПО, взятое где-то бесплатно должны нести ответственность по полнойС чего бы вдруг? У нас свобода договора. Не нравится — просто не покупайте, или предложите покупку на своих условиях, где в договоре прописана полная ответственность продавца.
Если при продаже ПО сразу объявлено, что оно сляпано из разношёрстного сборища опенсорс проектов, каждый из которых имеет кучу проблем, уязвимостей и прочих бэкдоров, и работоспособность этой сборной солянки никто не проверял и проверять не будет, а также в случае какого-либо факапа продавец ни в чём не виноват, а это всё они, разработчики опенсорса криворукие, то окей. Никакой ответственности данный продавец тоже нести не должен.
Но ежели продаван заявляет о супер надёжности и работоспособности своего ПО, пусть даже и сделанного на основе опенсорса, то будь любезен в случае внезапного превращения его в тыкву, возместить и стоимость покупки, и стоимость внедрения данного ПО, и упущенную выгоду клиента в результате простоя оборудования из-за халатности продавца.
Кто тогда вообще опенсрсом заниматся будет. Поди докажи что это просто косяк а не намереная порча.
Глупо запихивать в одну статью Linux (за которым некоммерческий Foundation), Apache (за которым тоже некоммерческий Foundation), Nginx, Inc (коммерческую контору) и автора colors.js, за которым... ничего.
Опен сорс это не только бесплатный софт, но и бесплатные тестеры для него. Многие разработчики выкладывают продукт именно затем, чтобы его хорошенько протестировать, получить обратную связь и так далее. И это работает. В случаях проблем в составе коммерческих продуктах - можно и просто патча от корпораций подождать, не надрываясь самим авторам. А обсуждать, как тяжко (опен сорс) проектам, которые взвалили на себя бесплатную круглосуточную поддержку корпораций, и вовсе не стоит - лучше объяснить авторам, что они совсем не так опен сорс лицензии понимают, надо бы почитать лицензию своего же проекта.
Многие разработчики выкладывают продукт именно затем, чтобы его хорошенько протестировать, получить обратную связь и так далее.
Для тестирования и обратной связи нет никакой необходимости открывать код по GPL.
Если для тестирования обязательно нужны исходные коды, то для такого обычно используют лицензии Sources-available, а не GPL.
GPL - это не та лицензия, если вам нужно только протестировать и получить обратную связь.
Я параноик и горжусь этим! Поэтому я не исключаю, что за этими частными случаями стоит осознанная компания по дискридетации Свободного програмного обеспечения. Нет!, безусловно, сами случаи случайны, но шумиха вокруг них поддерживается теми, кто коммитит от звонка до звонка и не пишет код на выходные. Как это было с травлей Столмана.
MicroSoft, приобретя GitHub, как мне кажется, уже записала всю эту базу кода себе в актив и рассматривает код как свою собственность. Именно с этим связаны санкции к програмисту который испортил СВОЙ код. Так же эту версию поддерживает и изначальная неразборчивость добавленого Copilot к лицензиям. Поэтому, ИМХО, GitHub пора перестать использовать как хостиг кода по умолчанию.
ИМХО если человек, работая не на гранты, выпустил код под лицензией MIT или под подобной - он сам себе злобный буратина. Лицензия должна быть максимально липкой и максимально не комерческой. Что-то вроде GNU-BY-NC.
В общем всех призываю к бдительности. Мы живем в мире где на свободу идет массовая и многовекторная атака. Без разницы, ограничили ли TOR в России путём глубокого анализа трафика или начали в Британии компанию за отмену шифрования, разрабатывают ли закон "о запрете биткойна" или сажают владельцев бирж за отмывание денег, без разницы Сачков или Макафи - всё это звенья одной цепи, на которую нас пытаются посадить. А GitHub - только одно, еще не докованное звено. Мы просто слышем стук молотков.
GNU-BY-NC - не существует и сомневаюсь, что будет существовать когла-либо, т.к. у FSF есть определённые понятия свободного кода. Т.к. в этом случае получается правовая коллизия, когда сторонний коммитер не имеет права продать свой же код, т.е. вы отбираете у него свободу, и поэтому эта лицензия не может быть свободной.
Да знаю я! Противоречит третьему, если не ошибаюсь, из 12 пунктов. Я имел ввиду копилефт с отягощением на некомерческое использование. Ясное дело это будет несвободной лицензией.
А! Теперь понятно, спасибо.
Если нужен копилефт с отягощением на некомерческое использование, то такая лицензия уже есть - называется Academic Public License, которая, например, используется компанией OMNeT++: https://omnetpp.org/intro/license
Т.к. сама лицензия в Public Domain, то вы можете применять её к своему программному обеспечению.
Недавно хотел обновить GeoGebra - а болт, автор переложил код из-под GPL под некую, условно говоря, AGPL-NC. Причём и контрибьюторы библиотек-зависимостей вроде как были против, однако болт и ныне там.
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=692728
Так что поддерживаю: на любую атаку в сторону опенсорса надо реагировать резко!
Постараюсь объяснить свою позицию.
Выпустив код под подобной лицензией вы просто занимаетесь благотворительностью. Вы должны быть готовы к тому, что если ваш код "выстрелит", то вы получите только моральное удовлетворение. Об это и споткнулся Марак Сквайрс. Более того, лицензия не мешает выпустить производные этого кода уже под закрытой комерческой лицензией. А дальше возможно, что после развода проекта, юристы попытаются отжать вашу часть кода. Например так https://habr.com/ru/company/macloud/blog/561544/
Вот по поводу последнего, что "хитрее" тут я не согласен. Сам Replit основан на skulpt. Автор не использовал кода Replit. Там вообще 30 строчек тривиального кода.
Вот всплывает простая ситуация. Команда пилила код. Потом часть решила продаться подороже. Другие с ними не согласились и идут делать форк. Тогда продавшаяся часть травит на них юристов. Даже не продавшаяся часть может инициировать, а юридический отдел фирмы, которая купила продажных. Подобные манёвры ведут к постепенному закрытию кода. Лучше сразу обговаривать, что код будет не коммерческим - без права продажи.
Безусловно, если код пилится на продажу, он должен пилиться на продажу. Причем, я полагаю, это должно явно указываться. Причем должно быть обговорено внутри команды и со сторонними участниками, как делится вклад и все такое ЗАДОЛГО до продажи. Но если код делался как социальный проект, то должна быть гарантия, что его не комерциализируют в дальнейшем.
Свободный код и свободный контент были задуманы и созданы именно для того, чтобы можно было строить бизнес на их основе. Именно это принесло успех свободному коду и свободному контенту.
Если почитать "Манифест GNU" то
“Разве программисты не заслуживают награды за творчество?”
Если что-то и заслуживает награды, то это заслуги перед обществом. Творчество может быть заслугой перед обществом, но только в той степени, в какой общество вольно использовать результаты. Если программисты заслуживают награды за создание передовых программ, то по этой же причине они заслуживают наказания, если они ограничивают пользование этими программами.
Обратите внимание, тут нет "про бизнес" и нет про коммерциализацию.
Разумеется подход, по нынешним временам, кажется наивным, но он единственно морально верный!
А как вы думаете, нужно ли решать вопрос с компенсацией разработчикам открытого ПО
Да, нужно. Раньше, до массового использования github/gitlab, это не было так очевидно, как мне кажется.
Я лично не вижу будущего у GPL v3 в том виде, в котором он сейчас есть.
Уже начались проблемы с тем, что SaaS vendor может использовать ПО GPL и при этом не следовать лицензии GPL и даже если код лицензирован по AGPL, где указано, что вы должны предоставить исходный код, если пользователи взаимодействют с ПО по сети, то это легко обходится просто вставив какой-нибудь прокси между AGPL ПО и пользователем.
И пока я вижу, что вместо поиска выхода из такого положения, FSF сейчас делает вид, что такой проблемы не существует.
Удивительно, как плохо люди понимают лицензию GPL даже в таких компаниях как Github.
Автор faker.js никому ничего не должен. Ни поддержки, ни работающей программы - ничего. Код предоставляется "как есть".
Пользователи его программы должны использовать свой форк в своём репозитории. В этом смысл GPL. А со своим репозиторием автор может делать всё, что угодно.
Для меня удивительно, что вообще существуют репозитории пакетов типа NPM.
Я вот смотрю на остальные репозитории пакетов свободного ПО - у них есть мейнтейнеры, которые фактически делают копию репозитория какой-нибудь программы и проверяют её работу на определённом дистрибутиве.
Мне кажется, если вы делаете коммерческое ПО на основе ПО со свободной лицензией, у вас должен быть свой личный репозиторий и свои мейнтейнеры. И всё ПО, что вы используете по свободным лицензиям, должно быть там.
Очевидно, что у Amazon, в случае использования такого подхода к пакетам свободного ПО, ничего бы не сломалось, и проблема была бы решена ещё на этапе обновления версии пакета в личном репозитории Amazon мейнтейнером.
Логичным развитием AGPL стала SSPL.
Ну и потом, вставить прослойку (техническую) всегда можно, но лицензия это не только про букву (а там всегда стояли - раньше веб-сервера. теперь балансировщики, и тп), но еще и про дух закона. Просто даже FSF не сильно разбегается судиться с теми, кто абьюзит свободные лицензии.
Буква или дух - я думаю, что юристы MongoDB и Elasticsearch лучше разбираются в американских законах =)
FSF и не должен судиться - у FSF другая миссия. Это сама компания должна судиться в том случае, если её права нарушены. Лицензия GPL просто предоставляет ей такое право, не более. Юристы MongoDB посчитали, что в суде против Amazon с текущей лицензией у них мало шансов и они поменяли лицензию.
Что значит недооценена? Можете попробовать сделать свой open source проект, а потом посмотрите хватит ли вам донатов, хотя бы на еду
модель донатов сильно недооценена
Скорее её переоценивают пользователи.
Делаю open source проект, монетизация по модели freemium. Подавляющее большинство юзеров пользуются бесплатным вариантом, поэтому я добавил донаты. За прошлый месяц получил 22 доната. Однако на каждого донора приходятся десятки (!) покупателей премиум-лицензии. То есть премиум-версия генерит в десятки раз больший доход.
Конечно, есть проекты где доноры типа Google вносят миллионы. Но большинству FOSS проектов это не грозит. Остаётся или довольствоваться донатами масштаба "на конфеты", или пилить премиум-версию и не отвлекаться на мелочи. Донаты инди-разработчика не прокормят, увы.
1) деньги собраны большие,
2) однако только на оборудование и движок,
3) однако движок пишут не так, как нужно сообществу,
4) однако сообщество ничего не получает от этих денег,
5) причём нету денег на покупку контента.
Если вам интересно в этом разбираться, давайте обсудим в личных сообщениях и напишем об этом подробное исследование?
Интуитивно, кажется правильным, что когда открытый продукт стрельнул, то автор должнен иметь некоторое вознаграждение. Одновременно с данным вознаграждением должна появляться и некоторая ответственность за проекты, которые доверяют автору. Выглядит, как условное "трудоустройство" на любимой работе. Думаю, кто-то из гигантов ближайшие пару лет пойдет в этом направлении.
Не каждый захочет переехать (до пандемии удалённая работа редко применялась).
Не каждый захочет терять контроль над проектом, ведь на работе все права на код будут у работодателя. Он может потребовать лицензировать его под двойной лицензией (для коммерческого применения отдельная). Работодатель может потребовать развивать продукт в ту сторону, как ему надо, а не как нравится автору. Так что, чаще всего — ответ «нет».
Я видел один из выходов: Sponsorware. Вкратце, вы далаете частный проект только для споноров на Github, например, но когда количество спонсоров перерастёт некоторое значение - проект переходит в open-source.
>> Думаю, кто-то из гигантов ближайшие пару лет пойдет в этом направлении.
<< А я думаю, что обольщатся не стоит. В большинстве это будет просто Embrace, Extend, and Extinguish, с последующей интеграцией кода в свои закрома.
Мда. Чуваку надо было поступать так, как делают крупные компании - вместо одного релиза, который ломает все сразу вносить много много маленьких релизиков, которые по чуть-чуть делают все хуже и хуже. Чтобы компании использующие его код в какой то момент сами вышли с ним на связь, - Мужик, зачем ты стал делать так плохо? Ведь раньше было ОК, а потом стало все хуже и хуже, верни как было. - Ребята, да без проблем! Если у вас есть пожелания, я открыт к диалогу, любой каприз за ваши деньги.
Так пока до них дойдёт, что надо замораживать версию, она успеет сильно испортиться, а откатываться на старую версию окажется так сложно, что проще будет действительно ему заплатить за необходимую доработку.
Какие-то фантазии. В реальности они просто починят его библиотеку у себя, или напишут свою. Неужели вы считаете что они упадут на колени и будут просить прощения и заваливать деньгами? Скорее всего решать что он говнокодер и его продуктом не стоит пользоваться
Тем более, как я понял чувак написал не браузерный движок, и не open cv, а достаточно несложную библиотеку для генерации фейковых данных
Ну и я не знаю что это за проекты, на которых не замораживают версию. Даже там где я сработаю, несмотря на слабый технологический уроаень, все версии библиотек прибиты руками
Судя по тому сколько кода отвалилось в проде, прибивают версию далеко не все даже в больших корпорациях (говнокод он везде, и с каждым годом ситуация только ухудшается)
В тех компаниях, где есть кому следить за кодом, проблема и так будет носить минимальный характер. Она реально касается лишь тех халявщиков, которые решили что если мы пользуем OpenSource, то это значит что мы просто получаем то же самое что есть за деньги но только нахаляву, а потому иметь в штате своих программистов нам не обязательно - достаточно найти пару студентов-эникейщиков, которые все это соберут в кучу, набросают скачанных от куда-нибудь красивых картинок, закинут к нам на сервер, мы вместе проверим что все как-то работает и после этого мы их отпустим с миром и забрав свои 3 копейки со спокойной душой они пойдут дальше сдавать свои экзамены. Но такие фирмы, помимо того что они и в принципе всегда пости в проблемах по уши - кроилово, как известно, неизбежно ведет к попадалову, но и таких то как раз и сам бог велел наказывать.
И, разумеется, тут все относительно, если для вас 1 день простоя - уже катастрофа то любое обновление из открытых репозиториев это уже реальный риск и вам по хорошему нужно столько людей, чтобы они могли следить за всем используемым кодом. И рассчитывать, например, что с этим справится один программист, каким бы грамотным он не был, и каким бы ни был масштаб проекта, явно не стоит.
Каждый человек, использующий компьютер или смартофон (и многое другое), пользуется в том числе и результатами труда OpenSource-разработчиков, а потому должен их интересы защищать. OpenSource-разработчик, в свою очередь, не должен умышленно портить свой продукт. Вот только в настоящий момент нам до благополучного общества, в котором люди не вредят друг другу сознательно, ещё очень далеко.
Автор имеет право вносить в свой код любые исправления. Пользуются его кодом исключительно добровольцы. И не стоит сюда примешивать моральные оценки. Они в этом случае выглядят, как известный мем "Вначале мы съедим твоё, а потом каждый своё".
Опен сорс использование - всегда риск, который вменяемые люди обязаны понимать и принимать все меры для его минимизации. Не смогла вся эта "королевская рать" из эйчаров, лидов самого разного размера, девопсов и штатных юристов справиться с этой довольно простой задачей - жуйте.
В статье используется термин open source (открытые исходные тексты), но есть ещё термин free software (свободное программное обеспечение), который предполагает распространение ПО вместе с исходными текстами. И между ними есть существенная разница в содержании лицензии.
Разработчик open source может продавать свою программу и указать в лицензии запрет на перепродажу и модификацию.
Проблемы (сложности) с монетизацией возникают у разработчика именно со свободным программным обеспечением, так-как лицензия предполагает свободное копирование и модификацию. Разработчик может продать одну копию, а потом купивший может распространить ПО бесплатно или дешевле и у разработчика не будут покупать.
Поэтому для свободного ПО сначала надо его монетизировать (собрать плату с пользователей), а уже потом распространять.
Ещё можно делать ПО свободным не сразу, а через какое-то время после первой продажи, а за это время выпускать новую версию. Или например так как делает JetBrains, предоставляет обновления в течении года.
Финансовый вопрос в сфере open source — обсуждаем различные точки зрения на проблему