Major Trial’a Gönderilen Kontrol Merkezi
(virtualize.sh)- Vates, yıllık geliri yaklaşık 130 milyon dolar olan yarı kamusal nitelikteki bir uzay şirketinin Xen Orchestra Appliance ücretsiz denemesini neredeyse 10 yıl boyunca tekrar tekrar kullandığı bir vakayı açıkladı
- Söz konusu kuruluş yüzlerce fiziksel host ve yaklaşık 4.000 VM işletiyor; IT stack’inin önemli bir bölümünü Vates platformuna taşımış olsa da ne ücretli müşteri ne de kaynak koddan kurulum yapan ücretsiz kullanıcıydı
- Tekrarlanan denemeler Nisan 2015’te şirket e-postasıyla başladı; ardından kişisel Outlook ve Gmail adresleri ile
johndoe01,johndoe02gibi artan hesaplara dönüştü ve her seferinde aynı şirket adı girildi - Xen Orchestra kaynak koddan kurulduğunda tüm özellikler ücretsiz kullanılabiliyor; ancak XOA, test edilmiş önceden yapılandırılmış bir VM ile tek tıkla güncellemeler, destek ve kararlılık sunan ücretli bir ürün
- Vates, bu tür trial farming uygulamalarının açık kaynağın sürdürülebilirliğini sarstığını düşünüyor ve dürüst kullanıcıları engellemeyecek şekilde daha akıllı deneme kısıtlamalarını değerlendirebilir
10 yıl boyunca tekrarlanan Xen Orchestra Appliance deneme kullanımı
- Vates, açık kaynak projelerini sürdürmenin yükü ve yapay zeka tabanlı sahte katkı ile güvenlik raporu artışı bağlamında bu vakayı paylaştı
- Sorunlu kuruluş yarı kamusal nitelikte bir şirket; yıllık geliri yaklaşık 130 milyon dolar ve uzayla ilgili yüksek maliyetli ekipmanlar üretiyor ve işletiyor
- Bu kuruluşun yüzlerce fiziksel host’u ve neredeyse 4.000 VM’i var; IT stack’inin önemli bir bölümünü Vates platformunda çalıştırıyor
- Ancak ücretli müşteri değil; tam açık kaynak sürümü doğrudan kaynak koddan kullanma yolunu da seçmemiş
XOA ile ücretsiz kaynak koddan kurulum arasındaki fark
- Kuruluşun tekrar tekrar denediği ürün Xen Orchestra Appliance(XOA) idi
- Xen Orchestra’nın önceden kurulu olduğu anahtar teslim bir sanal makine
- Düzenli olarak test ediliyor
- Dağıtımı ve güncellemesi kolay
- Tamamen on-premises şekilde çalışıyor
- Prod ortamda
masterdalınagit pullyapmak istemeyen ekipler için destekli ve kararlılaştırılmış bir deneyim
- Ücretsiz kullanıcılar dokümantasyonu izleyerek kaynak koddan build edip tüm özellikleri ücretsiz kullanabiliyor
- Kararlılık garantisi ve profesyonel destek yok
- Özelliklerin tamamı yine de sunuluyor
- Vates’in sattığı şey özelliklere erişim hakkı değil; test edilmiş önceden paketlenmiş VM, tek tıkla güncellemeler, zaman tasarrufu, risk azaltma ve destek deneyimi
Şirket e-postasından kişisel e-postalara uzanan hesap paterni
- Tekrarlanan denemeler Nisan 2015’te başladı
- Başlangıçta ücretsiz deneme için şirket e-postalarıyla başvuruldu
- Birer ikişer ortaya çıkıyorlardı ve ilk başta şüpheli görünmüyordu
- Zamanla geliştirici, sistem yöneticisi, yönetici gibi çeşitli hesaplar birikti
- Daha sonra şirket e-postaları tükenince kişisel Outlook veya Gmail adresleri kullanıldı
- Gerçek kişilere ait kişisel e-postalarla yeni 30 günlük denemeler başlatıldı
johndoe01@outlook.com,johndoe02@outlook.comgibi handle’lar artırıldı- Şu anda
johndoe60seviyesini çoktan aşmış durumdalar
- Kayıt formunda şirket adı zorunlu alan değil, ancak her seferinde aynı şirket adı girildi
Destek aldıktan sonra da süren dolanma
- Vates, değerlendirme kullanıcılarına yaptığı gibi bu kuruluşa da destek verdi
- Sorularını yanıtladı
- Kullanım yönü konusunda rehberlik etti
- İlk baştaki “test ediyoruz, satın almayı değerlendirebiliriz” durumunda desteğe neredeyse tam bir gün ayırdı
- Zamanla benzer sorular ve yapılandırmalar tekrarlandı; kayıtlar arandığında aynı kuruluşla bağlantılı ayrı hesaplardan en az 60 tane tespit edildi
- Vates iletişime geçtiğinde kuruluş muğlak biçimde özür diledi ve kaynak sürüme geçeceğini söyledi
- Profesyonel destek veya hacim indirimi olasılığına ilgi göstermedi; sonrasında da fiilen kaynak sürüme geçmedi
- Bunun yerine kişisel Outlook adresleri ve artan e-posta handle’ları kullanarak ücretsiz deneme talep etmeyi sürdürdü
Açık kaynak sürdürülebilirliği ve gelecekteki kısıtlamalar
- Bu durum, self-host edilemeyen sıradan bir SaaS’i dolanma vakasından farklı
- Xen Orchestra ile her şeyi ücretsiz olarak self-host etmek mümkün
- Özellik kısıtlaması yok; yalnızca yükseltme deneyimi XOA’ya kıyasla daha az konforlu
- Kısa bir dokümanı okuyup birkaç komut girmek yerine deneme hesabını tekrar tekrar oluşturmuş olmaları, XOA’nın kolaylık değerini de ortaya koyuyor
- Aynı kuruluş son 10 yıl boyunca kişisel Outlook ve Gmail hesaplarıyla ücretsiz denemeleri tekrar tekrar talep ederken gerçek şirket adını girmeyi sürdürdü
- Bu davranış, açık kaynağı sürdürülebilir kılan temeli zayıflatıyor
- Gelecekte trial farming’i engellemek için daha akıllı kısıtlamalar getirilebilir
- Bunlar dürüst kullanıcıları engellemeye yönelik önlemler değil
- Enerjiyi yazılım geliştirmeye, gerçek kullanıcı desteğine ve açık kaynağın sürdürülmesine harcamaya yönelik önlemler
1 yorum
Hacker News yorumları
Artık Larry Ellison tarzı baskı uygulamanın zamanı gelmiş gibi. En azından ceplerini silkeleyip bozuklukları almak gerek
Bu şirket hırsızlık yapıyor. OSS seçenekleri sunarak şirketlere yardımcı olmaya çalışmış olmanız açısından zaten yeterince ilkeli ve cömert davranılmış. Bu suistimal; katlanmak zorunda değilsiniz
Geçmiş kayıtlar dikkate alındığında, 10 yıllık hırsızlığı ve etrafından dolanma önlemlerini kısa bir durdurma ihtarnamesi (C&D) ile özetleyip, 15 gün içinde durmaz ya da lisans satın almazlarsa 10 yıllık lisans bedeli, faiz ve ceza talep edileceğini bildirmek daha iyi olur. Özellikle 16. gün yazılımı kapatmak gerekiyorsa, mutlaka birilerinden dönüş gelir
Burada tutar da epey yüksek görünüyor ama mesele aynı zamanda etik ve sorumluluk meselesi. CEO iseniz çalışanlara ve hissedarlara mı daha büyük sorumluluğunuz var, yoksa bu uzay şirketine mi, bunu tartmanız gerekir. Şirket aşırı zengin olsa bile, CEO olarak çalınmış varlıkları geri almaya çalışmak için güçlü bir yükümlülüğünüz olduğunu düşünüyorum
ABD şirketiyse bu davranış muhtemelen DMCA’nın teknik önlemleri aşmayı yasaklayan hükümlerine takılabilir. Öyleyse bireysel düzeyde cezai sorumluluk da doğabilir. DMCA’nın, lisans sözleşmeleri üzerinden şirketlerin cezai sorumluluk yaratmasına imkân veren berbat bir yasa olduğunu düşünüyorum; ama ABD’de şu anda yasa bu ve bir avukat bu kısmı açıklarsa karşı tarafın avukatları da muhtemelen kısa sürede müzakereye oturur
Mahkemeye kadar gideceğini sanmıyorum. Eylemin kendisi savunulamaz ve tek tartışma konusu OP’nin şirketine ne kadar ödeme yapılacağı olur
Zaman alabilir ama sonunda tahsil edebilirsiniz
“Günlerce peşlerinden koşup zaman harcamayacağım. Ama bir noktadan sonra bu, birkaç kuruş tasarruf etmenin ötesine geçip performans sanatına dönüşüyor” demiş ya; lütfen peşlerine düşün
Bu büyük olasılıkla ücretsiz deneme koşullarının ihlali, bu yüzden mahkemeye taşınmalı. Değilse bile en azından şirketin adını açıklayıp utandırmak gerekir. Böyle gülünç bir hırsızlığı kurgulayan aptal yönetici kovulup yerine daha olgun biri gelebilir
Şimdilik hukuki adım atmakta acele etmiyorum. Mevcut durumda buna enerji harcamaya değecek kadar büyük değil; ama bu davranışı kamuya açık biçimde işaret etmenin gerekli olduğunu hissettim. OSS bakımcılarının zaman zaman ne tür saçmalıklarla uğraşmak zorunda kaldığına ekosistemdeki diğer insanlara da sinyal oluyor
Şirket adını doğrudan açıklamayı şimdilik bekletiyorum ama tamamen ihtimal dışı da bırakmış değilim
“Ürünümüz o kadar iyi ki havacılık-uzay şirketleri kelimenin tam anlamıyla çalıp kullanıyor. Bu arada yeni 30 günlük deneme sürümümüzü gördünüz mü? Şimdi o havacılık-uzay şirketi meselesine dönersek, yazılımımızı ne kadar ucuza kullanabileceğinizi görmek için mevcut ürünlerimize bir bakın…” gibi
İnsanlar her zaman sınırına kadar kullanmanın ya da suistimal etmenin yolunu bulur. Kullanıcı deneyimi ile suistimali önleme arasında kısıtları nereye koyacağınızı düşünmek gerekir
Önceki iş yerim olan 1 milyar dolarlık şirkette, biri tek bir ücretsiz kullanıcı hesabını yaklaşık 100 kişinin kullanması için proxy benzeri bir şey kurmuştu
Daha fazla özelliğe ihtiyaç duyduğumuz için rakip ürünlere de baktık ve mevcut yöntemi sürdürüp sürdürmeyeceğimize ya da daha iyi bir çözüme geçip geçmeyeceğimize karar verilen toplantıya katıldım. İki ürün adil biçimde karşılaştırıldı, fiyat hariç
Plan, normalde ödememiz gereken ücreti ödemeden yasa dışı kullanıma devam etmek ya da yasal kullansaydık daha ucuz olacak başka bir hizmeti kullanmaktı. Karşılaştırma yapılacaksa en azından gerçek maliyetlerle karşılaştırılması gerektiğini gündeme getirdim ama kimse aynı fikirde değildi; sonunda geçiş yapmayıp yasa dışı kullanmaya devam etmeye karar verildi. Para da sorun değildi
Bunu yapan kişi şirketten çoktan ayrılmıştı ama kimse bu sorunu ele almak istemiyordu ve sanırım görmezden gelmenin daha kolay olduğuna karar verdiler
“Rocket Company”nin ayda ortalama 30 cihaz kullandığını ve aylık üst sınırın 1.600 dolar olduğunu varsayarsak, indirim öncesi yılda yaklaşık 600 bin dolar eder. 10 yılda yaklaşık 3 milyon doları ellerinde tutmuş olabilirler
Vates’in para alabilmesi için kontrolü, gerçek işi yapan operasyon organizasyonundan ayırıp merkezi BT organizasyonu düzeyine soyutlaması gerekecek gibi
“Ama bir noktadan sonra bu, birkaç kuruş tasarruf etmenin ötesine geçip performans sanatına dönüşüyor” ifadesini sevdim. Mizah da iyi, örnek olay da iyi
Şirketin ürün maliyetinden daha fazlasını çalışan zamanına harcıyor olma ihtimali yüksek
Ücretsiz deneme sürümüyle mission-critical bir şey çalıştırmak hayal bile edilemez. Eskiden Adobe’nin bir davayı kaybettiğine dair bir şey duymuştum. Birisi ücretsiz denemede bir görsel oluşturmuş, deneme süresi bittikten sonra açamaz hâle geldiği içinmiş
O şirketin müşterisi olsaydım epey endişelenirdim
“Ücretsiz denemeniz sona erdi ve şirketiniz artık ücretsiz deneme anahtarı alamaz” demek yeterli. Bunun için avukat da gerekmez, tehdit de gerekmez
“Ürünümüzü beğenmenize sevindik. Ne yazık ki size artık ücretsiz deneme kapsamında destek veremiyoruz” gibi nazikçe söylenebilir
Aidiyetlerini gizleyip ücretsiz deneme almaya devam ederlerse, tespit ettiğiniz her sahte başvuruyu engellersiniz; gerçekten son çare olarak da hukuki uyarı yaparsınız. Hepsini yakalayamasanız bile karşı taraf için çok can sıkıcı olur
Amaç onları ücretli müşteri olarak onboarding sürecine almaktır. Bunun dışındaki sonuçlar fiilen kayıptır. Nazik ama kararlı olmak gerekir
En moral bozucu olan, bunun hiç de şaşırtıcı olmaması
Ücretsiz deneme için önce kredi kartı istenmesinin nedeni tam da bu. Gizlice ücret kesmek için değil, sahtecilik yapmak daha zor olduğu için. Bu insanlar yüzünden
Bu uygulama, deneme sürümünü hafifçe suistimal etmeye çalışanları engeller belki ama gerçek ücretli müşterileri zor durumda bırakıp kötü niyetli aktörleri neredeyse hiç durdurmuyor gibi geliyor
CTO olarak bu tür davranışlara oldukça sert biçimde karşıyım; sorumluluğun havacılık-uzay şirketinin CTO’sunda olduğunu düşünüyorum
Başlarda tasarruf ederek ayakta kalmak işin bir parçası, ama gelir gelmeye başladığında ölçek büyürken ücretsiz planı başlangıç planına dönüştürmek gerekir
Sektörümüzde bu şekilde davranan insanların olması üzücü
Kişisel olarak bulut/SaaS ücretsiz planlarının, ilk kullanım maliyetini telafi edecek kadar olduğunu düşünüyorum. Bu yüzden gerçekten çok küçük ölçekli değilse ücretsiz plan uygun değil
Tüketici odaklı bir startup’ta, tavsiye sistemi yüzünden benzer bir şey yaşadım
Her ay saat gibi aynı kişi sahte tavsiyeler oluşturup bir aylık ücretsiz kullanım hakkı alıyordu; uygulamayı yeniden kurma, sahte hesapta içerik oluşturma, sonra geri dönme gibi epey zahmetli bir süreçten geçiyordu. Hepsi 5 dolar tasarruf etmek içindi; neredeyse aynı kalitede ücretsiz bir plan da vardı
Sistemi yenmenin ve yakalanmamanın verdiği heyecanın da oldukça büyük bir etken olduğunu düşünüyorum. Anlayabiliyorum
Eskiden büyük bir şirketin IT bölümünde çalışırken, yazılım satın almak için gereken işler o kadar muazzamdı ki her türlü “yaratıcı çözüm” çok daha iyi görünüyordu
En kötüsü, bundan en çok ucuz yazılımların zarar görmesi. Milyonlarca dolarlık Cisco yükseltmesi sorun değil. Zaten milyonlarca dolar. Ama 10 dolarlık bir e-posta shareware lisansı almak için birkaç kişinin çok sayıda çalışma saati harcaması gerekiyorsa, kim uğraşır
Sonra garip bir şekilde sorumlu kişi CEO’ya bir kuralları olduğunu söyledi. Şirket yalnızca OSS kullanabiliyormuş. Oysa şirketin kendi ürünü OSS değildi
Bu hikâyenin oldukça doğru olduğunu varsayarsak, iki tarafın da ne düşündüğünü merak ediyorum
Bedava kullanan tarafta, kuralların içinde kaldıklarını mı düşünüyorlardı? Bu yöntemi sürdürme onayı ne kadar yukarıya kadar çıktı? Birileri ödeme yapmaya çalıştı da engellendi mi? Birisi patronuna her şeyi içeride yaptıklarını söyleyip, şimdi dışarıya verdiklerini ve şirketin açığa çıktığını kabul etmek istemiyor olabilir mi? En tepeye kadar çıktı da avukat, her seferinde şirket adını ve gerçek adlarını yazarlarsa iyi niyet kapsamında korunabileceklerini mi söyledi?
Sağlayıcı tarafında ise, 10 yıldır takılıp kalmış kurumsal kullanıcıları görüp satış ekibi neden hemen üstlerine gitmedi? Politikayı biraz değiştirip bu bedavacıları ve onları taklit edebilecek başkalarını engellemeden nasıl 10 yıl bıraktılar? Bu konu akıllarına geldiğinde iş tarafındaki insanlar o süre boyunca ne dedi? İşleri o kadar iyi gidiyordu da onları ücretli müşteriye dönüştürmeye zaman ayırmaya değmez mi buldular?
https://250bpm.substack.com/p/accountability-sinks