Major Trial’a Gönderilen Kontrol Merkezi

 (virtualize.sh)
1 puan yazan GN⁺ 2025-05-17 | 1 yorum | WhatsApp'ta paylaş
  • Açık kaynak platform kullanan yarı kamu niteliğindeki bir kurumun, 10 yıl boyunca sonsuz deneme sürümünü sistematik biçimde kötüye kullandığı bir vaka
  • Söz konusu kurum, resmî ödeme yapmadan XOA appliance’ını kullanmayı sürdürmek için onlarca hesap oluşturdu
  • Samimi biçimde sunulan destek ve yönlendirmeye rağmen bu kurum, lisansı dolanmayı bırakmadı
  • Doğrudan kurulabilen ücretsiz bir seçenek açıkça mevcut olmasına rağmen, doğru süreçler yerine sürekli deneme sürümü suistimali tercih edildi
  • Bu tür davranışlar açık kaynağın sürdürülebilirliğini tehdit ediyor ve ileride daha akıllı kısıtlama politikaları devreye alınacak

🚀 Deneme sürümü ve deneme-yanılmanın hikâyesi

Açık kaynak dünyası, güzel, karmaşık, güçlü ve bazen de anlaşılması zor yönleri bir arada barındırır.

# Vates ve açık kaynak bakımının gerçekleri

  • Vates, açık kaynak projelerini sürdürmenin getirdiği çeşitli zorlukları daha önce de paylaşmıştı
  • Son dönemde buna yapay zeka tabanlı katkılar ve sahte güvenlik raporlarındaki artış gibi yeni karmaşıklıklar da eklendi
  • Ancak bu yazı, biraz daha gerçekçi ve somut bir vakaya odaklanıyor

🧑‍🚀 Bitmeyen deneme sürümünün tuhaf vakası

# Arka plan

  • Yarı kamu niteliğindeki bir kuruluş olan bu şirketin yıllık geliri 130 milyon dolar düzeyinde ve uzayla ilgili pahalı ekipmanlar kurup işletiyor
  • Şirket, yüzlerce fiziksel sunucu ve 4.000’den fazla VM çalıştırıyor; BT altyapısının büyük kısmı Vates platformuna dayanıyor
  • XCP-ng logosunda roket, Xen Orchestra logosunda uydu olması gibi, bu şirket için de bunlar kritik platformlar

# Deneme sürümü suistimalinin yöntemi

  • Bu kurum, ücretli müşteri olmadığını açıkça belirtmesine rağmen açık kaynak kodu doğrudan kurma yöntemini de kullanmıyor
  • Bunun yerine, kurulumu kolay hazır paket VM olan Xen Orchestra Appliance (XOA) için sunulan 30 günlük (önceden 15 günlük) deneme sürümüne tekrar tekrar başvuruyor
  • Nisan 2015’ten beri şirket e-postalarıyla deneme talep ediyor ve zamanla hesap sayısı hızla artıyor
  • Geliştiriciler, sistem yöneticileri, yöneticiler dahil çoğu çalışan deneme hesabı açarken, ○○@corporate.com biçiminden kişisel Outlook ve Gmail hesaplarına geçiyor
  • E-posta adlarına rakamlar ekleyerek 60’tan fazla hesap oluşturmaları, bunun örgütlü bir yaklaşım olduğunu gösteriyor

# Açık veriler

  • Deneme sürümlerine bağlı hesap sayısı, gerçek verilerle grafikleştirilebilecek kadar yoğun ve tutarlı biçimde arttı
  • Sorun yaşandığında ise gerçek adlarını yazmak da dahil olmak üzere, gerçek şirket adını dikkatle girme biçiminde hareket ettiler

🔍 Seçeneklerin açıklanması

  • Herkes, dokümantasyondaki yönlendirmeleri izleyerek kaynaktan derleme yapıp tüm özellikleri ücretsiz kullanabilir
  • XOA appliance, düzenli test ve güncellemelerden geçen, tek tıkla güncel kalabilen profesyonel bir sunum ortamı olduğu için satılan bir üründür
  • Bu kurumun davranışı, açık kaynağın örtük "ahlaki sözleşmesini" açıkça ihlal ediyor olarak görülebilir

🧠 Asıl mesele

  • Vates, kullanıcılara iyi niyetle destek sundu; hatta ilk test döneminde satın alma niyeti varmış gibi göründüklerinde de içtenlikle yardımcı oldu
  • Ancak tekrarlanan sorular ve tanıdık kurulumlar sürekli görülünce, 60’ı aşkın bağımsız hesap kaydı tespit edildi
  • Konu gündeme getirildikten sonra şirket tarafı, kaynak sürüme geçeceğini söyleyerek belirsiz bir özür iletti
  • Hacim indirimi teklifi bile anında reddedildi ve profesyonel desteğe hiçbir ilgi gösterilmedi
  • Gerçekte ise kaynak sürüme de geçilmedi; kişisel hesaplarla deneme sürümü suistimali hâlâ sürüyor

# Ücretsiz self-hosting mümkünken

  • Sadece birkaç komut ve kısa bir dokümantasyon incelemesiyle tam self-hosting kurulabilecek bir ortam mevcut

  • Tek dezavantaj, yükseltme deneyiminin biraz daha az konforlu olması

  • Buna rağmen bu şirket, ücretsiz self-hosting yerine tekrar eden deneme sürümü suistimalini seçti

  • Bu da aslında XOA appliance’ın değerinin piyasada belli ölçüde karşılık bulduğunu gösteriyor

💭 Bundan sonra ne olacak

  • Sonsuz bir takibe zaman harcanması planlanmıyor
  • Ancak 10 yılı aşkın süredir kayıt bilgilerine gerçek şirket adını yazarak kişisel hesaplarla bu davranışı tekrarlamak sınırı aşan bir durum
  • Bu tür hareketler açık kaynak ekosisteminin sağlığını ve sürdürülebilirliğini zedeliyor
  • Bundan sonra bu tür deneme sürümü suistimalini önlemek için daha akıllı kısıtlama politikaları değerlendiriliyor
  • Amaç, normal kullanıcıların erişimini engellemeden sınırlı enerjiyi gerçek müşteri desteği ve yazılım inovasyonuna odaklamak
  • Son olarak, eğer ilgili şirket bunu okuyorsa, şimdi bile daha makul ve etik bir seçim yapması umuluyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-05-17
Hacker News görüşleri

  • Bu durumda Larry Ellison’ın yaklaşımını örnek alıp bu şirketlere karşı agresif davranmak gerektiği söyleniyor; 10 yıllık yasa dışı kullanım ve girişimlerin dökümünü çıkarıp bir C&D (ihtarı durdurma ve vazgeçme) mektubu göndermek, 15 gün içinde durdurmazlar ya da lisans satın almazlarsa 10 yıllık lisans bedeli, faiz ve cezaların talep edileceğini bildiren bir strateji öneriliyor; hukuki süreçte DMCA (Dijital Milenyum Telif Hakkı Yasası) ihlali ihtimalinden bahsediliyor ve bu yasanın ABD’de uygulanarak cezai sorumluluk bile doğurabileceği vurgulanıyor; CEO olarak çalışanların ve hissedarların varlıklarını geri kazanma sorumluluğu üzerine ciddi biçimde düşünülmesi tavsiye ediliyor

    • Bunun açık bir suistimal vakası olduğu, mahkemeye gitmeden şirketin doğrudan uzlaşma yoluna gidebileceği söyleniyor; gerçekten de milyonlarca dolarlık zararın yanı sıra ek cezalar da çıkabileceği, temel tartışmanın zarar gören şirkete ne kadar ödeneceğine döneceği belirtiliyor

    • Her ay fatura göndermek gibi doğrudan bir adımla başlanması öneriliyor; hukuki danışmanlık alarak faturaları hazırlamak, tekrar tekrar göndermek ve ödenmezse tahsilat uyarısıyla baskı kurmak gerektiği, zaman alabilse de sonunda tahsilatın mümkün olduğuna dair deneyim paylaşılıyor

  • "Üç kuruş tasarruf etmeye çalışırken performans sanatına dönüştü" ifadesi hakkında, iz sürme çabasının sürdürülmesi isteniyor; dava olsun ya da olmasın en azından şirket adının açıklanarak farkındalık yaratılması çağrısı yapılıyor; bunun sonucunda olgunlaşmamış yöneticilerin değiştirilebilmesi gibi olumlu bir sonuç umuluyor

    • Doğrudan CEO’ya ulaşıp durumu anlatmayı düşünüyor; ancak olup biteni zaten biliyor ve buna izin veriyor olabileceği ihtimali hayal kırıklığı yaratıyor; hukuki adım şimdilik düşünülmese de, yanlış davranışı kamuya açık şekilde işaret etmenin ekosistemde farkındalık yaratma amacı taşıdığı söyleniyor; şirket adını açıklama da şimdilik beklemede

    • Bunun gerçekten de ücretsiz deneme lisansı ihlali gibi göründüğü, kişinin kendi emeğinin karşılığını almayı gerçekten reddedip reddetmediğinin sorgulandığı belirtiliyor

    • Tanıtım amacıyla bir blog yazısı yazmanın daha etkili olabileceği söyleniyor; Rocket Company OSS topluluğunu kullanıyorsa OSS’ye karşılıklı bir katkı da düşünmesi gerektiği ifade ediliyor

    • Tüm bu hikâyenin aslında ürün reklamı amacı taşıyor olabileceği, izinsiz kullanımdan da bahsederek kendi ürününü öne çıkarma stratejisi üzerine şaka yapılıyor

    • 130 milyon dolar yıllık geliri olup uydu sahibi olan havacılık-uzay şirketi sayısının çok fazla olmadığı, bu yüzden belirli bir şirketin (Planet Labs) tahmin edildiği söyleniyor

  • Önceki iş yerinde bir kişinin yaptığı proxy ile yaklaşık 100 kişinin tek bir ücretsiz hesabı paylaştığı, rakiplerle kıyaslarken de maliyetten hiç söz edilmeden bu yasa dışı kullanımın sürdürüldüğü anlatılıyor; bunun yasa dışı olduğu söylenmesine rağmen tepki verilmediği, arka planda maliyetten çok iş yapmaktan kaçınma eğiliminin olduğu, ikna etmekten ziyade görmezden gelme tavrının baskın olduğu belirtiliyor

    • Rocket Company’nin ayda 30 sunucu kullandığı durumda yılda 600 bin dolar, 10 yılda 3 milyon dolar tasarruf etmiş olabileceği hesaplanıyor; gerçekten hizmet bedeli tahsil edebilmek için IT departmanı üzerinde denetim gerektiği söyleniyor

  • Üç kuruş tasarruf etmeye çalışırken olayın performans sanatına dönüşmesi ifadesindeki mizah ve örneklere katılındığı, şirket içi personelin ürünü satın almaktan daha fazla maliyeti iş gücü olarak harcamış olabileceğinin altı çiziliyor; mission-critical işlerde ücretsiz deneme sürümünün kullanılmasının müşteri açısından endişe verici olduğu ifade ediliyor ve bunun gerçekten yaşandığı örnekler olduğu ekleniyor

  • Bu durumun hiç şaşırtıcı olmamasının en hayal kırıcı şey olduğu söyleniyor; bu yüzden ücretsiz denemelerde kredi kartı istenmeye başlandığı, bunun gizli ücretlendirme için değil kötüye kullanımı zorlaştırmak amacı taşıdığı açıklanıyor

    • Kredi kartı istemenin pratikte çok büyük bir etki yaratmadığı, buna karşılık sadece ücretli kullanıcıları daha çok rahatsız ettiği belirtiliyor; sanal kartlarla bunun kolayca aşılabildiği anlatılıyor

  • “Deneme sürümü sona erdi, bu yüzden artık anahtar veremiyoruz” şeklinde nazik bir bilgilendirme mesajıyla harekete geçilmesi öneriliyor; eğer gizlice ek başvurular sürerse engelleme ve son çare olarak hukuki adım düşünülmesi gerektiği, nihai hedefin ücretli müşteriye dönüşüm olduğu, nazik ama kararlı bir tutumun önemli olduğu vurgulanıyor

    • Kayıt aşamasında backend tarafında şirket adı ve bilinen alias’ların tespit edilip, “Ücretsiz kapsama uygun değilsiniz, satış ekibimiz yakında sizinle iletişime geçecek!” gibi bir mesaj döndüren otomasyon öneriliyor

  • CTO perspektifinden bunun tamamen Aerospace Co’nun CTO’sunun sorumluluğu olduğu kesin bir dille söyleniyor; başlangıçta ücretsiz katmanın kullanılmasının sorun olmadığı ama gelir oluşmaya başladığında ücretli plana geçilmesi gerektiği ifade ediliyor; sektörde böyle bir davranışı seçen insanların olmasının üzücü olduğu söyleniyor

    • Buna katılmakla birlikte, ücretsiz katmanı iyi kullanabilme becerisinin de önemli olduğu belirtiliyor; SaaS ücretsiz katmanlarının başlangıç maliyetlerini düşürme aracı olduğu yönünde kişisel görüş paylaşılıyor, ancak ölçek büyüdüğünde ücretsiz katmanın eninde sonunda sınıra dayanacağı ekleniyor

  • Tüketici startup’larında tavsiye etkinliklerinin kötüye kullanıldığına dair bir deneyim anlatılıyor; her ay düzenli olarak karmaşık bir süreci izleyip bir aylık ücretsiz kullanım kazanan bir kullanıcı bulunduğu, temel planda fark neredeyse yokken bile bu kadar uğraşılmasının nedeninin sistemi alt etmenin verdiği heyecan ya da eğlence olabileceği düşünülüyor

  • Şirket adı vermeden bunun bir pazarlama stratejisine çevrilmesi öneriliyor; gizli müşteri örneğinin pazarlama sayfasında aktif biçimde kullanılabileceği, ödeme yapmayan vakaların sektör/yıl/kullanım miktarına göre anonimleştirilmiş toplu istatistiklerle sunulabileceği söyleniyor; yaratıcı yazarlık yarışmasıyla birlikte vakaların incelenmesi ve ödül olarak ücretli lisans verilmesi, işletme okullarıyla bağlantılı vaka çalışmaları ve anketlerle tanıtım etkisinin büyütülmesi öneriliyor; kullanım şartlarının güncellenmesi ve zaman geçtikçe satış ekibinin çok yıllı lisans dönüşümü zorlayabileceği de ekleniyor

  • Bireysel uygulayıcı açısından bakıldığında, “vendor risk assessment” gibi SaaS satın alma süreçlerinin aşırı zor ve karmaşık olması nedeniyle bunlardan kaçınmaya dönük tabandan gelen kaçış davranışlarının neden olabileceği yönünde bir hipotez ortaya atılıyor

    • Satın alma süreci aşırı derecede zahmetli olduğunda bunun gerçekten yaşandığına dair örnek paylaşılıyor