HashiCorp, Business Source License’ı benimsiyor
(hashicorp.com)- HashiCorp, gelecekteki ürün sürümlerinin kaynak kodu lisansını MPL 2.0’dan Business Source License v1.1’e değiştirerek topluluğa ve ürün yatırımlarına devam etmeyi amaçlıyor
- Mevcut açık kaynak modeli büyük bir ekosistem oluşturdu, ancak bazı tedarikçilerin topluluk çalışmalarını ticari olarak kullanırken anlamlı katkı yapmaması sorununun büyüdüğünü düşünüyor
- BSL 1.1; kopyalama, değiştirme, yeniden dağıtma, ticari olmayan kullanım ve koşullu ticari kullanıma izin veren kaynak kodu açık bir lisans; API, SDK ve kütüphanelerin çoğu MPL 2.0 olarak kalacak
- Son kullanıcılar, iş ortakları, kurumsal müşteriler ve bulut üzerinde yönetilen ürün müşterileri genel olarak mevcut kullanımlarını sürdürebilecek; ancak HashiCorp ile rekabet eden ürünler sunmak bunun dışında kalacak
- HashiCorp topluluk ürünleri üzerinde rekabetçi hizmetler sunan tedarikçiler, gelecekteki sürümleri, hata düzeltmelerini ve güvenlik yamalarını artık entegre etmekte zorlanacak
Lisans değişikliğinin kapsamı
- Gelecekteki tüm HashiCorp ürün sürümlerinin kaynak kodu lisansı Mozilla Public License v2.0(MPL 2.0)’dan Business Source License(BSL veya BUSL) v1.1’e değiştiriliyor
- HashiCorp API’leri, SDK’leri ve neredeyse tüm diğer kütüphaneler MPL 2.0 olarak kalacak
- Ürün kaynak kodu ve güncellemeleri HashiCorp’un GitHub depolarında ve dağıtım kanallarında yayımlanmaya devam edecek
- HashiCorp, topluluk, iş ortakları ve müşteriler üzerindeki etkiyi en aza indirirken kaynak kodunu geniş şekilde paylaşmayı ve ücretsiz kullanımı mümkün kılmayı hedefliyor
Açık kaynak modeli ve ticarileşme yükü
- HashiCorp’un kuruluş döneminde ürünlerini açık kaynak olarak yayımlamasının üç nedeni vardı
- Uygulayıcılar kaynak kodunu serbestçe indirebilmeli, inceleyebilmeli ve sorunları doğrudan çözebilmeliydi
- Ürünlerin etrafında geniş entegrasyonları mümkün kılacak bir ekosistem ve topluluk oluşturulmalıydı
- Kullanıcılar için şeffaflık önemliydi
- 10 yılı aşkın süre boyunca ücretsiz açık kaynak lisanslarıyla yeni ürünler ve özellikler sundu; kullanıcılar, katkıcılar, iş ortakları ve müşterilerden oluşan büyük bir topluluk oluştu
- Her yıl açık kaynak ürün Ar-Ge’sine on milyonlarca dolar yatırım yapıyor; kritik görev altyapısında HashiCorp ile çalışan ticari müşteriler bu modeli mümkün kılıyor
- Bulut sağlayıcılarıyla yakın çalışarak ortak kullanıcılar ve müşteriler için entegrasyonlar sundu; ayrıca yüzlerce teknoloji iş ortağıyla da iş birliği yaptı
BSL 1.1’in uygulanma biçimi
- BSL 1.1, kopyalama, değiştirme, yeniden dağıtma, ticari olmayan kullanım ve belirli koşullarda ticari kullanıma izin veren kaynak kodu açık bir lisanstır
- Son yıllarda Couchbase, Cockroach Labs, Sentry ve MariaDB de benzer bir yol izledi; MariaDB bu lisansı 2013’te geliştirdi
- Confluent, MongoDB, Elastic ve Redis Labs gibi şirketler de ticari kullanım kısıtlamaları içeren alternatif lisansları benimsemiş örnekler olarak anılıyor
- HashiCorp’un BSL uygulaması, kaynak kodunun geniş ve izin verici şekilde kullanılmasını sağlayan ek kullanım izni içeriyor
- Lisans geliştirme sürecinde, sektör uygulamalarıyla uyumlu hale getirmek için OSS lisans uzmanları ve sektör paydaşlarından danışmanlık aldı
Kullanıcılar, iş ortakları ve müşteriler üzerindeki etki
- Son kullanıcılar, HashiCorp ile rekabet eden bir ürün sunmadıkları sürece kodu tüm ticari olmayan ve ticari amaçlarla kopyalamaya, değiştirmeye ve yeniden dağıtmaya devam edebilir
- İş ortakları, ortak müşteriler için entegrasyonlar geliştirmeyi sürdürebilir
- Bulut hizmeti sağlayıcılarıyla yakın çalışmaya devam ederek karşılıklı teknolojiler için derin desteği korumayı planlıyor
- Kurumsal ve bulut üzerinde yönetilen HashiCorp ürün müşterileri için bir değişiklik yok
- Topluluk ürünlerini temel alarak HashiCorp ile rekabet eden hizmetler sunan tedarikçiler, gelecekteki sürümleri, hata düzeltmelerini ve güvenlik yamalarını HashiCorp ürünlerine entegre edemez hale gelecek
Sonraki bilgilendirme
- HashiCorp, topluluğa, iş ortaklarına ve müşterilere yönelik taahhütlerinin değişmediğini belirtiyor
- Ek sorular için frequently asked questions sayfasını sunuyor
1 yorum
Hacker News görüşleri
Buradan çıkarılacak tek sonuç, HashiCorp’un artık bir açık kaynak şirketi olmadığı
“Saf OSS modelini ve topluluk çalışmalarını ticari hedefleri için kullanıp karşılığında anlamlı katkı vermeyen satıcılar” olması, açık kaynak ruhuyla %100 uyumlu
Sorun buysa AGPL gibi geliştiriciyi kodu açmaya zorlayan bir açık kaynak lisansı benimseyebilirler
Bu sadece HashiCorp’un eski açık kaynak projelerini yalnızca kendilerinin ticarileştirebilmesini sağlamaya yönelik bir yöntem; bu kendi başına sorun değil ama o zaman doğrudan kapalı kaynağa geçip bunu kabul etmeleri gerekir, iki tarafı birden elde etmeye çalışmamalılar
Blog yazısı dürüst değil. Terraform sağlayıcılarına birçok kez upstream düzeltme katkısı yapmayı denedik ama HashiCorp hiçbirini kabul etmediği için fork tutmak zorunda kaldık
HashiCorp OSS DNA’sını uzun zaman önce kaybetti; bu hamle de tabuta son çiviyi çakmak oldu
Neyse ki zaman içinde Terraform sağlayıcılarının çoğunun sorumluluğunu partnerlere devretmiş durumdalar; sağlayıcı ekosisteminin canlı ve açık kalmayı sürdürebilmesini umuyorum
Açık kaynağa derinden inanıyorum. Microsoft’ta yaptığım son proje de .NET’i açık kaynak ve çapraz platform hâline getirmekti; CTO’muz TypeScript’in kuruluşunda yer aldı, Pulumi de Apache açık kaynak projesi. HashiCorp artık öyle görünmüyor
Büyük resimde çağ değişti; kaynak kodunu açmanın “her şeyi bedava vermiyorsan gerçek değildir” değil, üreten taraf ile kullanan taraf arasında karşılıklı fayda ilişkisi olması gerektiğini düşünüyorum
Kullanıcı, çalışan şeyi kaynak üzerinden anlayıp genişletebilmeli; proje yöneticileri, bakımcıları ve sahipleri de bu işi sürdürebilmeli
Bu ulaşılması gereken bir denge noktası değil, gerilim içinde korunması gereken bir denge
Wikipedia’ya baktım; HashiCorp’un 29 Kasım 2021’de IPO koşullarını belirlediği yazıyor
Bu hipotezin giderek doğru olduğunu düşünüyorum. Karşı örnek ya da destekleyici örnek niteliğinde anekdot verileri memnuniyetle karşılarım
Açık kaynak değil diye kaynak kodunun görülememesi gerekmez; OSI onaylı bir lisansın tüm özelliklerini de ortadan kaldırmak gerekmez
Elbette özgür yazılım olsaydı daha iyi olurdu ama bu, tüm yazılımlar özgür yazılım olsa daha iyi olurdu demekle aynı şey
Sorun, OSI onayı alamayacak bir lisansı açık kaynakmış gibi göstermeye çalışınca ortaya çıkar. HashiCorp hâlâ açık kaynak olduğunu iddia etmiyor ve artık buna “kaynağı erişilebilir (source-available)” diyor
Oldukça hayal kırıklığı yaratıcı. Kişisel olarak Vault dışında fazla kullanmadım; Terraform’u denedim ama ondan keyif almadım ya da üzerine bir şey inşa etmedim. Yine de bu, HashiCorp ürünlerinde en olumlu gördüğüm şeyin tam tersi
Hatta Vault’ta en çok kullandığım kodların bir kısmına, sertifika yönetimine, katkıda bulunmuştum; şimdi bundan sonra müşterilere o hizmeti denemelerini söyleyip söyleyemeyeceğimi ve yeniden katkı yapıp yapmayacağımı tekrar değerlendirmem gerekiyor
VC fonlarının kuruduğu bir döneme girerken GPL türü olmayan lisansların en kötü geleceği ortaya çıkıyor gibi
Bir gün bu bilgiyi kullanarak hizmetler kurup kendi patronu olma ve buraya gelmesini sağlayan OSS’e katkı vermeyi sürdürme hayaliyle, bilinçli olarak OSS’i ve onun işletilmesini öğrenmiş insanlar için üzücü bir durum
Şirket altyapısı genelinde uygulama sırlarının yönetimi için kurumsal Vault uygulama ve işletme konusunda çok deneyimim var
Vault’u devreye alıp sözleşme pazarlığı yaptığımız birkaç yıl boyunca satış mühendislerinin kullanım senaryoları için “gerekli” özellikler hakkında hatalı veya yanıltıcı şeyler söylediğini ve tutamayacakları uzun vadeli özellik vaatlerinde bulunduğunu gördüm
Vault’tan çıkmayı pratikte imkânsız ya da riskli hâle getirebilecek entegrasyon yöntemlerini de önerdiler ve sonsuza dek ücretsiz kalacağını sandığımız özellikleri sürekli elimizden aldılar. Okta/MFA girişi bunun en büyük örneğiydi; ciddi uyumluluk denetimlerini onsuz geçmek zor, Vault’a ciddi şekilde bağımlı ekiplerin eninde sonunda bu özellik için para ödemek zorunda kalacağını HashiCorp fark etmiş gibi
Genel olarak güçlü bir satıcıya bağımlılık gibi görünüyordu ve her yıl aynı özellikler ya da daha az özellik için daha fazla ücret ödemek zorunda kaldık. Mühendislerin bile açıklayamadığı fiyatlandırma politikası da sürekli keyfî biçimde değişti
Vault’un kendisini harika bir yazılım olarak görüyorum ama HashiCorp’a güvenimi kaybettiğim için kişisel olarak önemli işlerde ona bağımlı olmam sanırım
Kelimesi kelimesine böyleyse değişen bir şey yok; hayal kırıklığı değil, akıllıca bir seçim. Açık kaynak topluluğunun iyi niyetini tekrar tekrar kötüye kullanan bulut sağlayıcılarına karşı kendilerini koruyorlar
Katkıcılardan telif hakkı devri isteyen OSS projelerine güvenilmemeli; en başta iyi niyetli katkıları da kabul etmemeliler
Aksi hâlde bugün Apache 2.0 olsa bile yarın kimseden izin alınmadan ticari bir şeye dönüşebilir. Çünkü bakımcı kodun %100’üne sahiptir
Ticari bir aktör tarafından desteklenen OSS projelerinin dış katkıcılardan anlamlı miktarda katkı alması genellikle nadirdir, ama yine de OSS’te düşünülmesi gereken önemli bir ayrıntıdır
“Ticari açık kaynak modelinin evrilmesi gerekiyor ki ekosistem açık ve özgürce kullanılabilir yazılımlar sunmaya devam edebilsin” gibi bir şey söyleyip, BUSL gibi açık kaynak olmayan lisansları açık kaynak modelinin evriminin bir parçasıymış gibi ima etmek ya ciddi bir kafa karışıklığı ya da kasıtlı bir yanıltma.
Kayda değer ölçekte biri HashiCorp ürünlerini kullanarak HashiCorp ile gerçekten rekabet etti mi?
[1]: https://www.pulumi.com/docs/concepts/vs/terraform/#:~:text=U...
Pulumi, herhangi bir Terraform Provider’ı Pulumi’de kullanılabilecek şekilde dönüştürebiliyor; böylece Terraform Providers ekosisteminin desteklediği tüm altyapı Pulumi programlarıyla yönetilebiliyor.
Şirketler bu tür adımları, Amazon gibi şirketler özgür ve açık kaynak lisanslarını kullanarak açık kaynak projelerin kendi barındırmalı sürümlerini kurduğu için atıyor.
ctrl+file “open source” araması yaparsanız bu ifadeyi nereden itibaren kullanmayı bıraktıklarını görürsünüz.HashiCorp bu değişikliği “açık kaynak”ı korumak için değil, açık ve özgürce kullanılabilir ürünleri korumak için yaptığını söylüyor.
Lisansı değiştirirken yine de “açık kaynak” kaldığını söylememesi bakımından diğerlerinden daha dürüst olduğunu düşünüyorum. Böyle adlandırsalar alacakları tepkiyi bildikleri belli.
@mitchellh’nin sohbete katılmaması ilginç. Geçmişte HN’de doğrudan iletişim kurardı ve bu kararda da nihai bir etkisi olmuş olabileceğini düşünüyorum.
Genel olarak kaybeden hamlesi gibi görünüyor. Elasticsearch’e ne olduğuna bakın. Benim ve çoğu kişi için ES artık yok. OpenSearch’e memnuniyetle geçtim ve zavallı kimchi’ye dönüp bakmıyorum. Kendi davranışları yüzünden Elasticsearch artık önemini yitirdi.
HashiCorp’un bu hamlesi Terraform’un ve diğer araçların son açık kaynak lisanslı sürümlerini fork’lamaya yönelik benzer bir çabayı tetikler mi? Ürünü yapan taraf cimrileşip güvensizleşerek, onu birlikte inşa eden açık kaynak topluluğuna düşmanca davranırsa başka ne seçenek kalır ki?
HashiCorp liderliğinden son derece hayal kırıklığına uğradım. MitchellH ve Armon Dadgar topluluğa bundan daha iyi davranmalıydı.
2016’da HashiCorp ile mülakata girmiş ve sonunda katılmayı reddetmiştim; o kararı biraz pişmanlıkla hatırladığım olmuştu. Artık gerçek yüzleri ortaya çıktığına göre doğru seçimi yaptığımdan eminim.
Güvenle ilgili bir söz vardır. Güvenin inşa edilmesi yıllar, yıkılması saniyeler, yeniden kazanılması ise sonsuza kadar sürer.
Zeki sandığım insanların bu kadar aptalca davranabilmesi şaşırtıcı.
Çok şey başarmış birine hakaret etmeye gerek yok.
Yazılımları açık kaynaktı; iyi olanlar fork’lanacaktır, bu yüzden HashiCorp’tan nefret etmeye gerek yok.
“Güvenin inşa edilmesi yıllar, yıkılması saniyeler, yeniden kazanılması sonsuza kadar sürer” sözüne de katılmıyorum. Çok saldırgan.
HashiCorp harika şeyler yaptı ve açık kaynak temelli bir iş modeli denedi. Bir sözleşmeyi bozmadılar ya da etik dışı bir şey yapmadılar; bu onların tercihi.
Bedava paranın sonu geldikten sonra tüm açık kaynak şirketlerinin karşılaştığı kaçınılmaz son gibi görünüyor. Rahatsız edici olan, metnin epey muğlak olması.
HashiCorp rakip ürünü, “kuruluş dışındaki kullanıcılara veya müşterilere sunulan ve HashiCorp ticari ürün ve hizmetlerinin işlevleriyle önemli ölçüde örtüşen ürün veya hizmet” olarak görüyor.
Örneğin maliyet tahmin hizmeti olmadığı için bir şey yaptığınızı ve bunun popüler olduğunu varsayalım: https://github.com/infracost/infracost
İki yıl sonra Terraform Cloud aynı şeyi yaparsa ne olacak? İşi kapatmak mı gerekecek?
Ama veritabanları gibi daha büyük iş açısından kritik ürünlerde, kendi barındırmayı zorlaştırmak ya da temel özellikleri kısıtlamak gibi çok daha tuhaf düğümler görüyoruz.
Kapalı kaynaktan daha iyi ama ideal değil. Bir süredir lisansların pratik bir çıkış yolu olabileceğini düşünüyorum; ancak yaygın biçimde anlaşılır, adil ve net olmaları gerekiyor.
“Kuruluş dışındaki kullanıcılara veya müşterilere sunulan ve işlevleri önemli ölçüde örtüşen ürün veya hizmet” ifadesi can yakıyor. Metin olarak (1) belirsiz ve (2) bu belirsizlik üzerindeki yetki şirket tarafına kaydığı için seçici uygulamaya kapı açıyor.
Hukuki bir belge imzalarken “merak etmeyin, kimsenin peşine düşmeyeceğiz” ikna edici değil. Bir sözleşmede şu an yumuşak görünen ya da gelecekte kullanılabilecek yetkiler biriktirmek bence büyük bir tehlike işareti.
Başkalarının bu lisansın kendisi hakkında ne düşündüğünü merak ediyorum.
“İki yıl sonra Terraform Cloud aynı şeyi yapar” noktası gerçekten çok iyi. Şirketin kapsamı değişir.
https://www.couchbase.com/blog/couchbase-adopts-bsl-license/ adresine göre BSL’de genelde 1 ila 4 yıl arasında bir değişiklik tarihi bulunur ve o tarihte BSL lisansı GPL, AGPL, Apache gibi açık kaynak olan değişiklik lisansına dönüşür.
Bu yüzden en önemli soru, değişiklik lisansının ne olduğu ve bunun ne kadar süreceğidir.
1 yıl sonra MPL 2.0’a geçecekse sorun değil. Ama çok daha uzun ve daha kısıtlayıcıysa bu tam bir tutum değişikliğidir; açık kaynak sürüm, güncel sürümden fazla uzaklaşarak fiilen kullanılamaz hâle gelir.
Düzeltme: 4 yıl sonra MPL 2.0.
https://www.hashicorp.com/license-faq#What's-the-difference-...
Güvenlik söz konusu olduğunda 4 yıl fiilen yalnızca “tarihsel ilgi” anlamına gelir.
4 yıl, MPL 2.0.
Diğer şirketleri bilmem ama bu şirketlerin yazılımları en baştan özgür olmayan lisans altında olsaydı bugün nerede olurlardı diye hep kendime soruyorum.
Bu, kodu “çalıp” hizmet olarak çalıştırmak isteyen dev şirketlere olduğu kadar son kullanıcılara, küçük bireylere ve şirketlere de düşmanca.
HashiCorp yazılımını başarıyla işletip kullanırken rakip olarak görülürseniz HashiCorp sizi engellemeye karar verebilir.
Örneğin https://github.com/hashicorp/vault/blob/main/go.mod#L25
En baştan BSL ile başlamış olsaydı bu kadar yaygın benimsenmezdi diye düşünüyorum.
İki ay önceki HashiCorp CLA sayfası: https://web.archive.org/web/20230610041432/https://www.hashi...
“HashiCorp’un sürdürülebilir bir iş kurabilmesini sağlarken projelerin MPL2 gibi özgür ve açık kaynak lisanslarıyla kalmasını sağlamak için dış katkıcılardan Katkıcı Lisans Sözleşmesi (CLA) imzalamalarını ister” deniyordu.
Ayrıca “HashiCorp, ticari olmayan yazılımlara gerçek özgür ve açık kaynak yazılım (FOSS) lisansları uygulamayı taahhüt eder. CLA, kullanıcıların kendi projelerinde veya işlerinde kullanma hakkı, değiştirilmiş kaynak kodunu yeniden yayımlama, tam fork oluşturma gibi standart FOSS lisanslarının verdiği tüm hakları korurken HashiCorp’un ürünleri güvenle ticarileştirmesine imkân tanır” deniyordu.
Sayfadaki hukuki olmayan ifadelerin, CLA imzalamanın HashiCorp projelerini açık kaynak tutmaya yardımcı olduğunu defalarca ima etmesi; buna karşın gerçek sözleşme metninin böyle bir garanti vermemesi hayal kırıklığı yaratıyor.
CLA’nın dayanağı, yani katkıların FOSS olmayan bir lisansla yeniden lisanslanması durumu değiştiğinde birinin buna itiraz etmesi gerekir.
Çoğu CLA son derece kuru metinlerdir, ancak HashiCorp kendi CLA’sına çeşitli beyanlar eklediği için başı derde girebilir.
Böyle bir şey istemenin tek nedeni yeniden lisanslamadır; yazılım zaten FOSS ise yeniden lisanslamanın tek nedeni özel mülk yazılıma geçmektir.
Linux katkılar için CLA istemez. Bunu yalnızca açık kaynak taklidi yapan bu palyaçolar ister.
Bizim OSS şirketimiz Apache 2.0 ile lisanslı ve Nomad’ı merkezine alarak kuruldu.
Etrafına birkaç hizmet ekleyip oyun sunucusu orkestrasyonu sağlıyoruz; bu da HashiCorp tarafından “rakip ürün sunmak” şeklinde yanlış anlaşılabilir.
Lisans kasıtlı olarak muğlak olduğu için Nomad sürümünü son MPL sürümünde dondurmayı planlıyoruz.
CockroachDB de kullanıyoruz ve o BSL altında, ancak onunla hiçbir şekilde rekabet eden bir ürün sunmuyoruz.
Tavsiye isteyenlere HashiCorp ürünleri olan Nomad, Consul, Terraform ve Packer’ı önermeye devam etme olasılığım yüksek, ancak bu değişiklik kulağa hayal kırıklığı verici geliyor.
Merak edenler için basit bir SBOM tutuyoruz: https://github.com/rivet-gg/rivet/blob/main/docs/infrastruct...
Nomad mühendislik lideriyim. Lisans benim kontrolüm dışında, ancak bir gün rekabet olarak yorumlanabilir mi diye endişelenen birçok kullanıcı var.
Söz veremem ama Nomad’ın hâlâ işiniz için doğru araç olduğuna dair güven vermek için elimden gelen her şeyi yapmaya çalışırım.
Kişisel olarak bunda bir sorun görmüyorum. Nihai hedef bir SaaS platformu olmaksa, daha fazla açık kaynak projesinin en baştan Business Source License ile başlamasını isterim
Büyük şirketlerin kendi maddi çıkarları için açık kaynak ruhunu suistimal ettiğini, hiçbir şey geri vermediğini ve kötü niyetli davrandığını defalarca gördüm
Açıkça erişilebilir ve kullanılabilir hâle getirilen bir şeyi kullanmanın kötü niyetli olduğunu düşünmezler; ücretsiz paylaşmaya da gönüllüdürler
Aksi hâlde bu açık kaynak değildir. Elbette tüm yazılımların açık kaynak olması gerekmiyor; bu da gayet normal
Açık kaynak ruhunu suistimal eden taraf, kullanım için keyfî kurallar koyan taraftır
Yine de bunu en baştan netleştirmek daha iyi olur