Des inquiétudes émergent sur l’éloignement de Bitwarden vis-à-vis de l’open source

 (phoronix.com)
3 points par GN⁺ 2024-10-23 | 3 commentaires | Partager sur WhatsApp
  • Bitwarden est un service de gestion de mots de passe qui utilise un coffre-fort chiffré et prend en charge divers clients/plateformes
  • Bitwarden fonctionne sur un modèle premium et fournissait jusqu’ici une partie de son code en open source, mais de nouvelles inquiétudes suggèrent qu’il s’éloigne davantage de l’open source
  • Récemment, dans une pull request concernant un client qui introduisait une dépendance à bitwarden/sdk-internal pour compiler le client desktop, figurait la clause de licence suivante :

"Ce SDK ne peut pas être utilisé avec un logiciel autre que Bitwarden (y compris des implémentations Bitwarden incompatibles), ni servir à développer un autre SDK"

  • Cela a conduit à des critiques dans une issue GitHub, où il a été avancé que le client Bitwarden ne serait alors plus un logiciel libre
  • D’autres utilisateurs ont également exprimé leurs inquiétudes face à ce changement et au fait que le SDK ne pourrait plus être utilisé légalement à des fins autres que Bitwarden

Réponse du fondateur de Bitwarden

  • Kyle Spearrin, fondateur et CTO de Bitwarden, a laissé un commentaire sur ce ticket :

Merci d’avoir partagé vos inquiétudes ici. Nous étendons l’usage du SDK à davantage de cas d’usage pour les clients. Cependant, notre objectif est que le SDK soit utilisé d’une manière qui préserve la compatibilité GPL.

  1. Le SDK et le client sont deux programmes distincts
  2. Le code de chaque programme se trouve dans un dépôt séparé
  3. Le fait que les deux programmes communiquent via un protocole standard ne signifie pas qu’ils constituent un seul programme au regard de la GPLv3
    Le fait que vous ne puissiez pas compiler l’application comme vous essayez de le faire ici est un problème que nous allons corriger, et il s’agit simplement d’un bug.
  • Le ticket a ensuite été verrouillé et limité aux collaborateurs
  • Il reste à voir comment évolueront à l’avenir les relations entre Bitwarden et l’open source

Nouvelle déclaration de Bitwarden

  • Bitwarden a publié un message sur X pour réaffirmer qu’il s’agissait d’un "bug de packaging" et que "Bitwarden reste engagé envers son modèle de licence open source"

L’avis de GN⁺

  • Bitwarden faisait figure de précurseur dans la préservation d’un modèle de licence open source dans le domaine de la gestion de mots de passe. Voir apparaître des inquiétudes sur un éloignement de l’open source chez Bitwarden est un signal d’alarme pour le secteur
  • Dans le processus de commercialisation d’un projet open source, les questions de licence restent toujours sensibles. Bitwarden doit profiter de cet épisode pour clarifier davantage sa politique de licence et renforcer sa communication avec la communauté open source
  • Outre Bitwarden, il existe des services similaires de gestion de mots de passe comme LastPass, 1Password et Dashlane. La plupart reposent sur un modèle logiciel propriétaire, ce qui renforce encore l’importance de la position de Bitwarden comme alternative open source
  • Lors de l’adoption de ce type de projet open source, il faut considérer de manière globale non seulement la compatibilité des licences, mais aussi la feuille de route à long terme, la structure de gouvernance et la vitalité de la communauté de contributeurs. Il ne faut pas choisir un projet simplement parce qu’il est « open source »
  • L’affaire Bitwarden relance une réflexion de fond sur la commercialisation et la pérennité des projets open source. Il semble nécessaire d’ouvrir le débat sur de nouveaux modèles économiques capables d’assurer un succès commercial sans porter atteinte aux valeurs de l’open source

À lire aussi

3 commentaires

 
2024-10-23
[Ce commentaire a été masqué.]
 
unsure4000 2024-10-23

Ah, c'est donc un problème côté serveur ? Tant mieux.
 
GN⁺ 2024-10-23
Avis Hacker News
  • Les développeurs open source devraient être prudents avant d’accepter des financements de VC. Les VC finissent par les posséder
  • Je paie pour soutenir BitWarden. Mais il est clair qu’ils font marche arrière
    • Le marché des gestionnaires de mots de passe est saturé, et l’implémentation de nouvelles fonctionnalités comme les passkeys n’est pas simple
    • Malgré cela, c’est presque le seul gestionnaire de mots de passe open source qui fonctionne sur toutes les principales plateformes et prend en charge des fonctionnalités modernes
  • Je me suis inquiété quand BitWarden a commencé à imiter 1Password. Les textes marketing, les fonctionnalités, etc. se ressemblent
    • Je comprends qu’il n’y a pas beaucoup de différenciation entre les outils de gestion de mots de passe
    • BitWarden était considéré comme l’alternative open source à 1Password et comme meilleur que KeePass
  • Je suis client des deux services. J’utilise 1Password depuis le début, et j’ai un forfait famille depuis plus de cinq ans
    • J’ai utilisé BitWarden quand j’ai commencé avec une équipe. Je pensais que c’était moins cher et plus scalable
    • Si Bitwarden devient aussi « réussi » que 1Password, alors les gens/entreprises utiliseront tout simplement 1Password
    • Maintenant, il semble préférable de déplacer les éléments importants vers KeePass et d’utiliser un client avec une meilleure UX par-dessus la base de données
  • Actualité récente liée : Bitwarden n’est plus un logiciel libre
  • Je n’ai jamais compris l’attrait des gestionnaires de mots de passe basés sur le web. J’utilise KeePass, tout est hors ligne, l’UI ne change pas aléatoirement, et tout tient dans un unique fichier .db
    • Si j’ai besoin de synchronisation, j’utilise un service de stockage cloud
  • Je suis parti quand Bitwarden a commencé à utiliser des dark patterns dans l’UI. Cela nuisait à l’expérience utilisateur au lieu de l’améliorer
  • Je me demande à quel moment les clients officiels commenceront à bloquer l’utilisation de solutions comme vaultwarden