Automattic açık kaynak hırsızlığı mı yaptı?

• Apple'ın Spotify'ı bir tehdit olarak görüp haksız uygulamalara başvurduğunu ve Spotify'ın buna karşı Apple'a dava açtığını hayal edin; bunun üzerine Apple'ın şu adımları attığını varsayalım?
  • Spotify'ı geliştirici ekosisteminin dışına itip App Store'da uygulama güncellemelerini imkânsız hale getirmesi
  • Spotify gerekli güncellemeleri sunamadığı için "bir şey yapılması gerekiyor" diye ilan etmesi
  • App Store'daki Spotify uygulamasının sahipliğini sessizce Apple'a devretmesi
  • Ücretsiz uygulamada ücretli özelliklere yükseltme yöntemini kaldıracak şekilde kodu değiştirmesi
  • App Store'daki mevcut Spotify kullanıcılarının artık Apple kullanıcısı haline gelmesi; yalnızca App Store dışındaki platformlarda Spotify uygulamasını kullananların Spotify kullanıcısı olarak kalması
  • Adillik hakkında soru sorulduğunda, App Store ekibinin Apple'dan bağımsız hareket ettiğini iddia etmesi
• Elbette böyle bir şey asla olmazdı. Bu yalnızca rekabete aykırı değil, hukuken de şüpheli olurdu
• Ancak Apple'ı Automattic, App Store'u WordPress.org ve Spotify'ı da en popüler WordPress eklentilerinden biriyle değiştirirseniz, Automattic'in CEO'su buna benzer bir şeyi organize etmekle suçlanıyor
• Automattic'in en büyük rakibi WP Engine'in geliştirdiği Advanced Custom Fields (ACF) adlı eklentinin sahipliğini ele geçirdi
• Bu olay, açık kaynak web tarihindeki eşi benzeri görülmemiş ölçüde utanç verici bir durum

Automattic ile WP Engine arasındaki kurumsal anlaşmazlığın özeti

• Automattic, açık kaynak WordPress CMS'nin yaratıcısı; WordPress web sayfalarının %43'ünü ve CMS pazarının %65'ini oluşturuyor
• WordPress'in popüler olmasının nedenleri arasında izin verici GPL lisansı, güçlü temalar, çok sayıda özelleştirme seçeneği, güçlü marka, devasa geliştirme yatırımı ve 20 yıldır var olması yer alıyor
• Automattic, WordPress'in arkasındaki VC destekli şirket, projenin en büyük katkı sağlayıcısı ve ticari WordPress markasını kontrol eden şirket
• WP Engine, en popüler yönetilen WordPress hosting hizmetlerinden biri; yıllık gelirinin yaklaşık $400M, Automattic'in yıllık gelirinin ise yaklaşık $500M olduğu tahmin ediliyor
• Automattic 2021'de $980M risk sermayesi yatırımı alarak $7.5B değerlemeye ulaştı; WP Engine ise 2018'de Silver Lake Partners'tan $250M private equity yatırımı aldı

Automattic ile WP Engine tam kapsamlı bir kurumsal anlaşmazlığın içinde ve son 2 haftada Automattic şu saldırı dizisini başlattı:

• Hakaret/yanıt: Automattic'in kamuya açık hakaretlerine WP Engine bir ihtarnameyle karşılık verdi
• İhtarname/uyum: Automattic, marka ihlali iddiasıyla bir ihtarname gönderdi; WP Engine ise marka kullanımını fair use olacak şekilde güncellemiş görünüyor
• Engelleme/geçici çözüm: WordPress Foundation (WordPress.org), WP Engine'in WordPress.org eklenti dizinine erişimini engelledi; WP Engine ise WordPress.org eklenti dizinine bağımlı olmayan bir çözüm geliştirdi
• Karşı dava: WP Engine, Automattic'e karşı dava açtı ve bunu "gücün kötüye kullanılması, zorbalık ve açgözlülükle ilgili bir dava" olarak tanımladı. WordPress marka haklarının gizlice Automattic'e devredildiğinin saklandığını ve Automattic'in eylemlerinin WP Engine ile WordPress topluluğuna ekonomik zarar verdiğini iddia ediyor
• WordPress.org'da engellenme: WP Engine'in davası Automattic ve CEO'suna karşı açılmış olsa da, WordPress.org WP Engine ile bağlantılı herkesin siteye erişmesini ve eklenti güncellemesini yasakladı. WordPress.org eklenti dizini, çoğu WordPress sitesinin eklenti güncelleme yöntemi
  > WordPress Foundation ile Automattic tamamen iç içe geçmiş durumda ve WordPress Foundation, Automattic'in ticari çıkarlarını temsil ediyor gibi görünüyor. Automattic'in kurucusu ve CEO'su Matt Mullenweg kısa süre önce WordPress.org'un kişisel sahibi olduğunu doğruladı. Bu iç içe geçmiş yapı nedeniyle, bu yazının geri kalanında WordPress.org veya WordPress Foundation'ın eylemleri de dahil olmak üzere Automattic'ten "aktör" olarak söz edilecek. Ticari açıdan bakıldığında, mevcut olaylar Automattic'in çıkarları tarafından yönlendiriliyor.

WP Engine'in eklentisinin ele geçirilmesi tartışması

• 13 Ekim'de Automattic CEO'su ve WordPress Foundation sahibi Matt Mullenweg, WordPress Slack'te Advanced Custom Fields (ACF)'i "fork" edeceğini duyurdu
• Buna verilen tepki tamamen olumsuzdu. Duyuru şu sözlerle başlıyordu:
  > "WordPress güvenlik ekibi adına, eklenti dizini yönergelerinin 18. maddesini devreye alarak Advanced Custom Fields (ACF)'i yeni bir eklenti olan Secure Custom Fields'a fork ettiğimizi duyuruyoruz. SCF, ticari upsell'leri kaldırmak ve güvenlik sorunlarını çözmek için güncellenmiştir."
• ACF eklentisi, WP Engine'in geliştirdiği en çok kurulan eklenti ve genel olarak WordPress eklentileri içinde en popüler 28. eklenti
• Automattic bunun bir "fork" olduğunu iddia ediyor, ancak bu doğru değil:
  • Automattic'in eklentiyi fork etme hakkı vardı ve gerçekten fork etti; ancak eklenti dizininde bu eklentinin yerini alıyor ve 2 milyondan fazla ACF müşterisini sessizce bu fork'a taşıyor
  • URL aynı kalıyor, mevcut incelemeler de yerinde duruyor. Bu olaya dikkat çeken incelemeler ise aktif olarak siliniyor
  • Son 10 yılda bu eklentiyi kurmuş 2 milyondan fazla müşteri artık yeni bir sahibin kullanıcısı haline geliyor
• Apple ve Spotify örneğine dönersek, bu sanki Apple'ın Spotify uygulamasını ve tüm kullanıcılarını "gasp etmesi" ve Spotify'ı ekosistem dışına itmesi gibi
• Automattic ihtarnamede "WP Engine WordPress'e neredeyse hiçbir katkı yapmıyor" demişti; ancak Automattic, WP Engine'in WordPress'e 10 yılı aşkın süredir büyük başarı sağlamış katkısı olan bir eklentiyi kullanan 2 milyon siteyi ele geçirdi
• Automattic'in eylemleri bazı yönleriyle bir tedarik zinciri saldırısına da benziyor:
  • Eklenti dizininde bir aktörün bir eklentiyi sessizce devralıp açıklama yapmadan işlev değişiklikleri dağıtması tedarik zinciri saldırısı sayılır; burada da tam olarak olan bu
  • Automattic yalnızca ACF eklentisinin sahipliğini almakla kalmadı, müşterilere haber vermeden küçük iş mantığı değişiklikleri de dağıttı ve bunun sonucunda yüzlerce site bozuldu
• Automattic'in eylemleri WP Engine'in gelirini azaltmayı hedefliyor gibi görünüyor:
  • Matt Mullenweg'in duyurusunda "ticari upsell'leri kaldırmak için" ifadesi yer alıyordu
  • WP Engine, ACF Pro eklentisinden önemli gelir elde ediyor

WP Engine tek kurumsal düzeyde WordPress hosting sağlayıcısı olarak mı kaldı?

• WordPress.org eklenti dizinini kullanan tüm WordPress sağlayıcıları, bizzat Automattic'in yürüttüğü bir tedarik zinciri saldırısının parçası haline geldi
  • Dikkat çekici istisna WP Engine. Birkaç hafta önce engellendiği için eklenti güncellemelerinde WordPress.org eklenti dizinini kullanmayan az sayıdaki yönetilen sağlayıcıdan biri
  • Sonuç olarak WP Engine müşterileri ACF eklentisinin sessizce ele geçirilmesini görmedi
• Bu olay, tedarik zinciri güvenliğini önemseyen şirketler için kâbus senaryosu
  • Automattic, istediği zaman eklentileri devralmaya hazır olduğunu gösterdi ve neredeyse hiç test etmeden sessiz değişiklikler dağıttığını da ortaya koydu
  • Bu da şirketlerin ve kamu kurumlarının WordPress.org eklenti dizinine güvenmesinin sorumsuzluk anlamına geldiğini gösteriyor
• İşin ironik yanı, Automattic WP Engine ile savaşında en büyük rakibi için en iyi reklamı üretmiş olabilir
  • WP Engine artık izinsiz eklenti ele geçirmelerine karşı bağışık olduğuna dair kanıta sahip
  • Yalnızca ACF eklentisi değil, Nitropack gibi başka paketler de artık WordPress eklenti dizinine güncelleme gönderemiyor. Ancak WP Engine müşterileri hariç!

Gelecekte ne olabilir?

• İki hafta önce bu anlaşmazlığın nasıl sona erebileceğine dair tahminlerde bulunmuştum; ancak Automattic'in WordPress eklenti yöneticisini kullanarak başka bir şirketin eklentisini gasp edip 2 milyon kullanıcıyı alacağını hayal etmemiştim
• Automattic, kendisine ya da daha geniş WordPress ekosistemine ne kadar zarar verdiğini umursamıyor ve WordPress Foundation'ı kullanarak kendi gündemini ilerletecek gibi görünüyor. Bunun sonucunda şunlar olabilir:
  • Kurumsal ve kamu müşterileri WordPress'e geçiş konusunda temkinli davranır
  • WordPress rakipleri kazanç sağlar
  • WP Engine kurumsal işini büyütmeye çalışır
  • Automattic giderek daha öngörülemez görünür
  • Çoğu WordPress sitesi için bir değişiklik olmaz
• Ne yazık ki Automattic, WP Engine'e zarar vermek uğruna yazılı olmayan ama değerli etik ilkeleri terk etmiş görünüyor
  • Ancak tarafsız bir platformu (WordPress eklenti yöneticisi) kullanmak iş dünyasında kazanma yöntemi olmamalı
  • Özellikle açık kaynakta hiç olmamalı
• Microsoft'un npm üzerinde bir rakibin popüler paketini ele geçirdiğini düşünün
  • Böylesine akıl almaz bir şey yaşansaydı npm paket sistemine duyulan güven ve kullanım hızla düşer, ayrıca Microsoft da büyük bir oyuncu olduğu için antitröst düzenleyicileri devreye girip yaptırım uygulayabilirdi
• WP Engine mutlaka hukuki savunmaya geçecektir; ayrıca Automattic'ten pazar payı almaya devam etmek için medeni davranmaktan başka bir şey yapmasına da gerek kalmayabilir
• Bu anlaşmazlığın taraflarının sakinleşmesini ve kamusal kavgayı durdurmasını umuyorum. Taraflar birbirine her vurduğunda elbette zarar veriyor, ama seyirciler de giderek daha ağır darbe alıyor
  • Bu drama uzadıkça tarafsız gözlemciler bir daha dönmemek üzere WordPress'ten ayrılacak
• Sonuç ne olursa olsun, Automattic açık kaynak web yazılımında etik çizgiyi aşan ilk şirket olarak sonsuza dek hatırlanacak
• Çünkü en büyük rakibine zarar vermek için başka bir ekibin aktif olarak sürdürdüğü bir eklentiyi gasp etti, önceden planlanmış bir saldırı için kâr amacı gütmeyen bir vakfı kullandı ve açık kaynak etiğini görmezden geldi
• "Automattic, artık adil rekabet etme zamanı"

GN⁺ görüşü

• Automattic'in bu hamlesi, rakibine zarar vermek için açık kaynağın değerli etik ilkelerini bir kenara bıraktığını düşündürüyor
• Bunu anlamanın en kolay yolu, npm'in sahibi Microsoft'un bir rakibin popüler paketini ele geçirdiğini düşünmek. Böyle bir şey olursa npm'e duyulan güven çöker
• WP Engine hukuki karşılık verecek ve yalnızca medeni bir tutum sergileyerek bile Automattic'ten pazar payı almaya devam edebilecek gibi görünüyor
• Bu anlaşmazlığın iki tarafının da sakinleşmesini ve kamusal kavgayı durdurmasını umuyorum. Kavga uzadıkça tarafsız gözlemciler WordPress'ten ayrılacak
• Automattic bundan sonra açık kaynak web yazılımında etik çizgiyi aşan ilk şirket olarak hatırlanacak. Çünkü en büyük rakibine zarar vermek için kâr amacı gütmeyen bir vakfı kullanarak önceden planlanmış bir saldırı düzenledi ve açık kaynak etiğini hiçe saydı
• Automattic artık adil rekabet etmeli