cross-posted from: https://feddit.org/post/19585325
In der Open-Source-Welt erlebt die populäre Programmiersprache Ruby derzeit eine heftige Kontroverse in Bezug auf die Kontrolle kritischer Infrastrukturen durch rechtslastige Firmen und Unternehmer
Mir gefällt die Fragestellung nicht weil sie suggeriert dass ein Open-Source-Projekt ja jemandem gehören muss.
Ich hab mich gestern ein bisschen eingelesen in die Materie und ich habe kein Problem gesehen in der Situation wie sie war bevor die “Eigentum”-Seite Macht ausüben wollte über das Projekt selbst. Es ist doch verdammt noch mal nichts neues dass ein Kollektiv etwas verwaltet was keiner besitzt.
Ich hoffe nur das die EFF oder Ähnliches genauso hilfreich eingreifen wie seinerzeit bei youtube-dl. Die rechtlichen Grundlagen sowas sinnvoll zu prozessieren sind da, auch wenn viele Giernickel das Update bisher ignoriert haben.
Nun ja… das Kernproblem aus Konzernsicht ist ja die Softwarelieferkettensicherheit, und das lässt sich nicht ganz abstreiten insbesondere da die bald auch eine rechtliche Frage wird (EU Cyber Reliance Act).
Jetzt einfach zu sagen die Firmem hätten halt ihr eigenes abgesichertes Gemsverzeichnis schaffen müssen greift auch zu kurz, da diese scheinbar die Infrastruktur und auch einige Gehälter bezahlt haben.
Daher abgesehen davon das in diesem speziellen Fall auch noch ansonsten einiges im Argen ist (Rails und DHH etc.), wird es wohl nötig sein solche Abhängigkeitsverwaltungswerkzeuge grundsätzlich anders aufzustellen. Ganz von Konzernen unabhängig wird rein kostenmäßig zumindesten kurzfristig nicht funktionieren, und Open-Source Maintainer sollten für ihre Arbeit auch zumindestens irgendwie entlohnt werden.
Nicht-kommerzielle open-source Projekte sind von CRA ausgenommen. An der Stelle wo zuerst kommerziell verkauft wird fängt CRA an zu greifen. Wenn eine Firma in ein kommerzielles Produkt nicht-kommerzielles open-source einbaut muss sie selbst sicher stellen, dass das Produkt und damit auch seine Komponenten die CRA Anforderungen erfüllen.
Nicht-kommerzielles open-source ist keine Lieferkette. Es wird immer so geredet als gäbe es da einen “Lieferant”, das ist nicht der Fall. Das ist einfach nur ein Projekt das herumschwirrt, und wenn ich mich daran bediene um das in ein kommerzielles Produkt verwandeln will um damit Geld zu verdienen, dann muss ich auch selbst dafür sorgen dass es den Regeln des Marktes entspricht.
Eben. Und das hat Ruby Central hier versucht zu machen.
Eh naja, “versucht” ist da harmlos ausgedrückt. Einfach Maintainer aussperren ist weder nett noch förderlich für so ein Projekt. Man hätte auch einen soft fork machen können der upstream trackt und Änderungen nach einer Prüfung übernimmt. Wenn man sich mit upstream gut stellt könnte man auch eine doppel-Lizenz Strategie umsetzen, indem Lizenzen für den CRA-kompatiblen soft-fork an andere kommerzielle Konsumer des Projekts verkauft werden, welche sich dafür das Review plus Risiko sparen können. Daraus wiederum könnte man die Reviews und generelle Projektunterstützung finanzieren.
das Kernproblem aus Konzernsicht ist ja die Softwarelieferkettensicherheit, und das lässt sich nicht ganz abstreiten insbesondere da die bald auch eine rechtliche Frage wird (EU Cyber Reliance Act).
Wo bitte erfordert der CRA denn die Kontrolle über die Open Source Paketverwaltung? Wenn das so wäre sollte ich dringend schauen, dass meine Firma sowohl PyPi als auch OpenJDK kontrolliert.
Wenn du open-source Projekte in einem kommerziellen Produkt verwendest dann haftest du dafür. Die CRA erfordert strenggenommen natürlich nicht die Kontrolle aber praktisch gesehen ist es durchaus nachvollziehbar das eine Firma nicht für etwas haften will wo sie keinerlei Einfluss auf die Sicherheitsstandards hat.
Das ist ein gutes Beispiel, wie die autoritären Tendenzen im den USA, welche in die Richtung zielen jegliche Kooperation zum gegenseitigem Vorzeil durch komplette Kontrolle zu ersetzen, sich weit über die Grenzen auswirken werden.
Und Open Source Software Projekte sind noch vergleichsweise gut geschützt, weil der zugrundenliegende Quellcode offen ist und von niemandem in exklusiven Besitz genommen werden kann. In dem Moment, wo wie hier vernagelte Hardware ins Spiel kommt, wird es schon viel schwieriger.
Wem gehört ein Open-Source-Projekt?
Dem Maintainer. Wem das nicht passt kann (Pitch)forken
Wir reimplementieren gerade eine RoR-Applikation, um von Ruby wegzukommen. Ich bin froh, in dieser Entscheidung bestärkt zu werden.
Das ist leider kein quasi Ruby-spezifisches Problem. NixOS hat es z.B. auch schon.
