$30 off During Our Annual Pro Sale. View Details »

[Breizh Camp 2024] L’open-source n’est pas (déj...

[Breizh Camp 2024] L’open-source n’est pas (déjà) mort

Est-ce que le meilleur de l’open-source est derrière nous ? Lorsque l’on voit les changements de licences d’Elastic, MongoDB ou Hashicorp ; ou l’arrivée de CentOS Stream et l’arrêt de distribution sans restrictions des sources par Redhat, on peut se poser la question.

Cette conférence résume les principaux bouleversements et propose d’enquêter sur les raisons de ces changements ainsi que d'étudier leurs impacts. Après avoir raconté l’historique, les licences BSL, SSPL et dérivées sont expliquées concrètement pour comprendre les enjeux.

Destinées à combattre l’avidité des Cloud Providers et les GAFAM qui ne contribuent pas assez, il n’empêche que ces nouvelles licences ne sont pas open-source.

Qu’est-ce que ces hybridations entre open-source et propriétaire impliquent ? Pourquoi ces entreprises passent par ces mesures ? Est-ce qu’on ne verrait pas les limites de l’open-source ?

Alexandre Brianceau

June 28, 2024
Tweet

More Decks by Alexandre Brianceau

Other Decks in Technology

Transcript

  1. L’OPEN-SOURCE N’EST PAS ( DÉJÀ ) MORT. BreizhCamp 2024 -

    28 juin - Rennes Alexandre Brianceau - CEO @ Rudder.io [email protected] @abrianceau team beurre salé et vive l’open source
  2. Introduction - Disclaimer & origine du talk Alexandre BRIANCEAU -

    CEO @ Rudder Editeur FR d’automatisation de la sécurité des systèmes Sans levée de fond - Licence GPLv3 - Modèle Open-Core Je me demande si on ne voit pas les limites de l’open-source… Frédéric Alix (@fralix)
  3. En 2016, face à une république FLOSS fragmentée par les

    dissensions ainsi qu’à la menace des GAFAM et une soif de revenue insatiable, MariaDB change sa license et crée la Business Source License
  4. Elastic: Elastic License 2017 2018 2019 2020 2021 2022 2023

    2024 MariaDB: BSL 1.0 revue par Bruce Perens (OSI): BSL 1.1 Redis modules: Apache Common Clauses OSI: SSPL n’est pas open-source puis Redis Source Available License Frise chronologique d’apparition des licenses “presque OSS” Redis: SSPL & RSALv2 ⑂ Valkey 🧩 DocumentDB MongoDB: SSPL exclu de Debian + Redhat Elastic: SSPL ⑂ OpenSearch
  5. Comparatif rapide des licences Permissive (MIT, BSD...) Copyleft (GPL) Network

    copyleft (AGPL) Server Side Public License Business Source License RSALv2 Projets dérivés Oui, avec attribution du nom Oui, avec attribution du nom et licence compatible Oui, avec attribution du nom et licence compatible Oui, avec attribution du nom et licence compatible Par défaut interdit en production, dépend de la clause "Additional Use Grant" Oui si non commercial, avec attribution du nom, copyright et licence identique Projets dérivés privateurs Oui Non Non Non Non Non SaaS dérivés Oui Oui Oui, mais si modifié alors doit être sous AGPL Non Par défaut interdit en production, dépend de la clause "Additional Use Grant" Non Impact stack SaaS Aucun Aucun Oui si combiné (mais personne ne fait ça) Combiné ou non : absolument tout est publié sous AGPL Aucun Aucun Changement de licence dans le temps Non Non Non Non Automatique au bout de X<4 années en licence compatible Non Alternative : souvent l'éditeur a une double licence et permet un partenariat commercial Alternative : partenariat commercial avec l'éditeur
  6. Impact des licences pseudo-OSS (fauxpen source) Usage privé ou interne

    ou services d’intégration Fournir une version SaaS Intégré / utilisé dans un SaaS Brique dans une solution commerciale OK Non Non Non Non ++
  7. Non open-source, et c’est problématique L’Open Source Initiative à publiquement

    explicitée que la Server Side Public License (SSPL) n’est pas open-source. Et la Business Source License n’est pas référencée non plus sur le site de l’OSI. Les problèmes que cela soulève : • Réduit les libertés d’un logiciel open-source à l’origine • Réduit la concurrence en SaaS en créant un monopole de l’éditeur • Donc augmente les tarifs des offres SaaS (x3 pour Terraform Cloud cf ShavingTheYak) • Limite les possibilités d’utiliser le logiciel dans sa stack technique commerciale • Les éditeurs derrières font de l’open-source washing
  8. Nous croyons en l'open source et à la puissance qu'elle

    confère. [...] Alors que d'autres fermaient leurs portes, nous avons ouvert les nôtres. [...] Rien n'a changé depuis cette première ligne de code et au cours de ces 10 ans de parcours que nous avons partagé avec vous, nos utilisateurs. Il n'y a aucune raison que cela change au cours des nombreuses années à venir. Propagande open-source du CEO d’Elastic, Shay Banon (2019) Source: https://www.elastic.co/fr/blog/on-open-distros-open-source-and-building-a-company
  9. Le cas Hashicorp : historique Hashicorp bascule sous Business Source

    Licence tous ses logiciels Fork par 400 entreprises de Terraform : OpenTF OpenTF se renomme OpenTofu sous la pression d’Hashicorp "HashiCorp a été très agressif en envoyant des ordonnances de cessation et d'abstention à plusieurs personnes. Nous avons simplement pensé que TF était un peu trop proche de Terraform", Sebastian Stadil, PDG de Scalr. Le CEO d’Hashicorp affirme le véritable open-source est mort et confirme qu’OpenTofu est un soucis, surtout depuis son adoption par la Linux Foundation. Source : https://www.thestack.technology/hashicorp-ceo-predicts-oss-free-silicon-valley-unless-the-open-source-model-evolves/ 25 août 2023 10 août 2023 20 septembre 2023 16 octobre 2023
  10. Hashicorp est racheté par IBM pour 6,4 milliards de dollars

    US. Le cas Hashicorp : la rigolade et l’évidence F. Lucifredi, le Product Management Director de Ceph, tacle le CEO d’Hashicorp : 17 octobre 2023 Hashicorp accuse OpenTofu de vol de code source sous propriété intellectuelle 6 avril 2024 24 avril 2024
  11. Le cas Hashicorp : rien d’officiel -> mon avis Le

    rachat par IBM 8 mois après le changement de licence n’est pas un hasard. La raison du passage en BSL n’est pas uniquement pour contrer les GAFAM : C’est avant-tout pour rapporter plus d’argent aux investisseurs. Ces opérations sont quand même précédées par : • Une côte bourse (IPO) d’Hashicorp en décembre 2021 • Passage sous licence BSL en août 2023 • Départ du fondateur iconique Mitchell Hashimoto en décembre 2023 Les GAFAM ne sont pas réellement touchées par ces changements, par contre les petits acteurs “concurrents” comme OpenTofu ou ceux qui s’appuient sur Terraform, oui (Env0, Spacelift…).
  12. Le cas Hashicorp : mon analyse financière Suite à l’introduction

    en bourse, nous avons des données financières tangibles Avant, aucune info sauf dans les “YYYY Year in Review” sur : • les levées de fonds (indispensables car ils n’étaient pas rentables) • le nombre d’utilisateurs (Hashicorp User Group) Hashicorp n’était toujours pas rentable : • + de croissance = + d’investissements ◦ Avant pour répondres aux exigences des investisseurs ◦ Puis pour les actionnaires ◦ Et donc aujourd’hui pour IBM
  13. Le capitalisme à l’origine des tendances privatrices Toutes ces entreprises

    qui basculent en BSL, SSPL etc. ont un point commun : Les levées de fonds, pour trouver une sortie (revente ou entrée en bourse) Dans ce monde, le succès se mesure à la capitalisation, ce qui exclut tout autre forme de valeur : • impact social et environnemental, • innovation et pérennité • construction de biens communs… Les investisseurs recherchent la rentabilité à tout prix, open-source ou non.
  14. Le capitalisme à l’origine des tendances privatrices Cas Red Hat

    et CentOS • Fin 2019 : CentOS est mis à mort par CentOS Stream • Fin 2020 : CentOS 8 devient EOL en 2021 au lieu de 2029 (8 ans en moins) • Dans la foulée, AlmaLinux (et d’autres) le remplace • IBM/Red Hat réagit en ne distribuant plus le code via une faille de la GPL Cas dans les outils de gestion des configurations • Chef, toujours déficitaire, racheté en 2020 par Progress (son plus gros client) et innove peu depuis… • Saltstack, toujours déficitaire, racheté en 2020 par VMWare et innove peu ◦ Équipes dispersées notamment au sein d’Aria et disparaissent depuis le rachat Broadcom • Puppet, toujours déficitaire, racheté en 2022 par Perforce et innove peu
  15. Conclusion Non, l’open source n’est pas (déjà) mort. Mais oui,

    il est en danger (depuis toujours en fait). Avec de vrais défis sur la viabilité des projets open-source : • Business model soutenable pour les entreprises ET la communauté • Rétribution des contributions pour les biens communs • Contre mesure contre le pillage des ressources communes (dont les GAFAM) • Modernisation (et simplification ?) des licences Github - Octoverse 2022 The open source is now the foundation of more than 90% of the world’s software.
  16. L’OPEN-SOURCE N’EST PAS ( DÉJÀ ) MORT. Alexandre Brianceau -

    CEO @ Rudder.io [email protected] <= Faites-moi un retour sur la conférence, merci !
  17. Est-ce que les GAFAM sont vraiment des vampires ? AWS

    possède un “Directeur de la stratégie et du marketing Open-Source” • David Nalley… Président de la Fondation Apache ! Mais on trouve peu d’éléments factuels et chiffrés, sinon de la “communication” : “AWS contributes significantly to a large number of projects. Some well-known examples include Apache Airflow, Apache Cassandra, Apache Flink…” Et peu/voir aucun repo Github significatif qui ne serait pas “AWS oriented”
  18. Bonus: IBM avec OpenBao & Hashicorp Est-ce que le fork

    de Vault par IBM est viable ? Sans surprise : NON ! Sauf début janvier, le nombre de commits a toujours été plus faible pour OpenBao. Mais depuis l’annonce de rachat en avril, c’est même quasi inexistant !
  19. Quelques liens intéressants Historique des changements de licences - LinuxFR

    : https://linuxfr.org/news/virevoltantes-valses-de-licences-libres-et-non-libres-dans-le s-bases-de-donnees Hashicorp & BSL - Zwindler : https://blog.zwindler.fr/2023/08/16/d-open-source-a-bullshit-licence-bsl/ Focus sur la SSPL - TheNewStack : https://thenewstack.io/the-case-against-the-server-side-public-license-sspl/ Billet juridique sur la SSPL - Kyle E. Mitchell : https://writing.kemitchell.com/2019/06/13/SSPL-Not-Commons-Clause Je ne suis pas une licorne (par Bluemind) - JournalDuNet : https://www.journaldunet.com/start-up/1493655-je-ne-suis-pas-une-licorne/