Le SDK de Bitwarden relicencié de propriétaire à GPLv3
(github.com/bitwarden)- Le commit
db648d7desdk-internalchez Bitwarden est une modification qui clarifie le libellé de licence du SDK, et sur HN il a été présenté comme un cas de relicenciation de propriétaire vers GPLv3 - Le
LICENSEà la racine a été largement remplacé, avec 295 lignes supprimées et 20 lignes ajoutées, et les nouveauxLICENSE_GPL.txtetLICENSE_SDK.txtdeviennent le cœur de la structure de licence - Le workspace Rust inclut
bitwarden_license/*parmi ses membres, et le chemin de dépendance debitwarden-sma été déplacé versbitwarden_license/bitwarden-sm - Pour le crate
bitwarden-sm, le principal changement est le déplacement de répertoire, et plusieurs fichierssrcsont traités comme des renommages sans modification de contenu bitwarden-sm/Cargo.tomlne s'appuie plus sur la valeur commune du workspace et pointe directement vers../../LICENSE_SDK.txtpour indiquer le fichier de licence de ce crate
Ce qui a changé dans le commit
- Le titre du commit de
bitwarden/sdk-internalest « Improve licensing language » - Le titre HN présente ce changement comme « Le SDK de Bitwarden relicencié de propriétaire à GPLv3 »
- Le diff GitHub inclut à la fois le remplacement de fichiers de licence et des modifications dans la configuration du workspace Rust
Réorganisation des fichiers de licence
- Le fichier
LICENSEà la racine est affiché avec 20 lignes ajoutées et 295 lignes supprimées- GitHub ne rend pas par défaut les grands diff, donc le contenu complet n'apparaît pas dans le corps
- Un nouveau fichier
LICENSE_GPL.txta été ajouté- L'ampleur du changement est de 674 lignes ajoutées, 0 supprimée
- Un nouveau fichier
LICENSE_SDK.txta aussi été ajouté- L'ampleur du changement est de 295 lignes ajoutées, 0 supprimée
- La liste des éléments modifiés inclut aussi des
LICENSE_GPL.txtcôté Kotlin et Swiftlanguages/kotlin/sdk/src/main/resources/META-INF/LICENSE_GPL.txtlanguages/swift/LICENSE_GPL.txt
Changement de chemins dans le workspace Rust
- Les membres du workspace dans le
Cargo.tomlracine ont été étendus- Avant :
members = ["crates/*"] - Après :
members = ["crates/*", "bitwarden_license/*"]
- Avant :
- Le chemin de
bitwarden-smdans les dépendances du workspace a lui aussi changé- Avant :
crates/bitwarden-sm - Après :
bitwarden_license/bitwarden-sm
- Avant :
- Ainsi,
bitwarden-smn'est plus référencé souscrates, mais sousbitwarden_license
Déplacement de bitwarden-sm et indication de licence
crates/bitwarden-sm/Cargo.tomla été renommé enbitwarden_license/bitwarden-sm/Cargo.toml- La manière d'indiquer la licence dans
bitwarden-sm/Cargo.tomla changé- Avant :
license-file.workspace = true - Après :
license-file = "../../LICENSE_SDK.txt"
- Avant :
- Ce crate désigne donc directement
LICENSE_SDK.txtau lieu d'utiliser le réglage commun du workspace pour le fichier de licence
Un diff plus proche d'une réorganisation de chemins que de changements de code
- Plusieurs fichiers source Rust de
bitwarden-smont été déplacés sans modification de contenuclient_projects.rsclient_secrets.rslib.rsprojects/create.rsprojects/delete.rs
- Dans l'arborescence, les modules liés aux projets et aux secrets apparaissent eux aussi comme déplacés sous
bitwarden_license/bitwarden-sm/src - Les éléments renommés visibles dans le corps montrent que l'accent est mis non sur des modifications de code, mais sur la réorganisation des chemins et de la structure de licence
2 commentaires
Immunité ++ ;
Avis sur Hacker News
Soulagé. L’entreprise aurait peut-être survécu d’une manière ou d’une autre, mais elle aurait eu beaucoup de mal à rester une entreprise appréciée des développeurs, et le prix à payer aurait été élevé.
J’espère que Bitwarden a compris que le fait d’être un logiciel libre/open source (FOSS) est son avantage concurrentiel, et que c’est ce qui lui vaut une grande bienveillance. C’est d’ailleurs la raison pour laquelle j’utilise un produit qui n’est pas, à mes yeux, absolument le meilleur.
Quand c’était du FOSS, l’affirmation audacieuse de « gestionnaire de mots de passe le plus fiable » se justifiait dans une certaine mesure ; mais si ce n’est pas du FOSS, même en mettant KeePass de côté, ce n’est plus du tout le cas.
Je ne sais toujours pas exactement quoi penser de cette entreprise. J’ai retrouvé une certaine confiance dans le fait que les apps resteront des logiciels libres, mais ma confiance dans l’entreprise elle-même a un peu diminué, et je n’ai pas encore vu de communication officielle.
Je ne vois pas en quoi lever 100 millions de dollars pourrait être bénéfique aux utilisateurs à long terme. Le résultat le plus probable me semble être une inflation fonctionnelle ou une dégradation du service.
Bitwarden ne semble pas facile à forker. C’est un système complexe en C#, et l’existence de Vaultwarden aide beaucoup, mais les applications clientes sont encore un autre sujet.
Comme garde-fou contre les comportements hostiles aux utilisateurs, la possibilité de forker est ce qu’il y a de plus important après l’open source lui-même. J’espère tout de même que ça se passera bien. J’ai commencé à utiliser Bitwarden récemment, et jusqu’ici l’expérience utilisateur est bien meilleure que celle de KeePass.
Merci à Bitwarden d’avoir remis cette partie sous une licence libre/open source.
Cela dit, je ne recommande plus Bitwarden aux utilisateurs grand public, parce que le gestionnaire de mots de passe intégré à Firefox est devenu suffisamment bon.
En revanche, je recommande toujours Bitwarden aux personnes qui ont besoin de fonctions plus avancées, ou qui ne font pas confiance au gestionnaire de mots de passe intégré à leur navigateur. Ajouter de la synchronisation à KeePassXC est trop compliqué pour les utilisateurs grand public.
Par exemple, ils ont besoin d’un endroit où mettre, dans un coffre chiffré, des secrets qui ne sont pas liés à des sites web : réponses aux questions de sécurité, alias e-mail associés, PIN du téléphone du conjoint, etc.
Le gestionnaire de mots de passe de Firefox est trop basique, avec seulement deux champs, « nom d’utilisateur » et « mot de passe ». Pour les utilisateurs grand public, une meilleure expérience consiste à rassembler tous les secrets dans une seule application, plutôt que d’en stocker certains dans Firefox et le reste dans une autre app.
Ils sont pénibles à utiliser sur mobile, dépendants de la plateforme, et il est facile de perdre des données locales non synchronisées. Les utiliser sur plusieurs appareils est aussi plus compliqué, surtout dans un contexte professionnel.
À l’inverse, les gens comprennent généralement bien le modèle où ils installent une app sur chaque appareil et la laissent s’en charger.
Les mots de passe deviendraient alors une partie du compte Mozilla, et non une simple fonctionnalité de Firefox. C’est un point sur lequel Bitwarden excelle, et c’est un peu le modèle à battre.
Mozilla aurait l’avantage d’une intégration au navigateur quasiment fournie par défaut comme fonctionnalité de premier plan, mais si l’on n’utilise pas exclusivement Firefox, il est difficile de considérer qu’un seul navigateur est l’endroit approprié pour gérer ses mots de passe.
J’apprécie le fait que Bitwarden permette de garder l’accès aux mots de passe « verrouillé » même quand le navigateur est ouvert. La dernière fois que j’ai regardé, Firefox demandait de saisir le mot de passe maître au lancement même quand on n’avait pas besoin de mots de passe, et le simple fait que le déverrouillage du coffre soit lié au lancement du navigateur suffisait à me faire renoncer.
Bitwarden est approuvé dans mon entreprise, permet l’auto-hébergement, et prend en charge une multitude de connexions à des apps sur navigateur et appareils mobiles.
Que ce soit dans des apps mobiles, des sites mobiles ou des sites dans le navigateur, ça fonctionne généralement bien. Il permet aussi de stocker des informations arbitraires comme des cartes bancaires, des notes sécurisées, la casse des réponses aux questions de sécurité, des informations de récupération de compte et des identifiants de connexion, ce qui est très pratique.
Savez-vous que la synchronisation des onglets de Firefox entre appareils est cassée ? Elle est en panne depuis le 24 août et n’est toujours pas corrigée : https://bugzilla.mozilla.org/show_bug.cgi?id=1913795
S’ils n’arrivent même pas à synchroniser les onglets entre appareils, j’ai du mal à faire confiance à la synchronisation de mes mots de passe.
C’est bien de voir Bitwarden corriger le tir ici. Comme je n’avais pas vraiment envie de migrer vers un autre gestionnaire de mots de passe, j’en suis plutôt satisfait.
Changer de gestionnaire de mots de passe est pénible, donc je suis content de ne plus avoir l’impression de devoir absolument migrer.
Bitwarden reste excellent, mais il faudra surveiller les prochaines années. Il faut se rappeler que Bitwarden a justement commencé comme une alternative pour éviter les dérives bizarres de LastPass.
En revanche, je ne comprends pas pourquoi ce commit Git a été lié. J’aurais plutôt aimé voir la discussion pertinente : https://github.com/bitwarden/clients/issues/11611
Pour preuve, Bitwarden est le gestionnaire de mots de passe que les YouTubeurs sponsorisés ne recommandent pas, mais que les YouTubeurs non sponsorisés recommandent toujours.
Merci à Bitwarden d’avoir écouté. Ce genre de chose donne aussi de l’espoir pour les modèles économiques open source.
Liens associés : https://github.com/bitwarden/clients/issues/11611#issuecomme...
Discussion précédente : https://news.ycombinator.com/item?id=41893994
Je trouve qu’ils ont géré ça de manière assez efficace et conforme à l’esprit open source. Content que ça se soit réglé sans combines bizarres, et que ça m’évite la corvée de migrer depuis Bitwarden
Ce n’est pas encore totalement réglé. Certaines parties ont été relicenciées, mais d’autres restent sous l’ancienne licence SDK de logiciel non libre
Exemple : https://github.com/bitwarden/sdk-internal/commit/db648d7ea85...
Bitwarden a toujours été open core, pas entièrement sous GPLv3, et c’est compréhensible. Au final, il faut bien quelque chose à vendre
On peut leur reconnaître qu’ils vont dans la bonne direction. Pendant quelques jours, on ne savait vraiment pas du tout ce que Bitwarden allait faire
C’est l’une des rares entreprises à publier son produit en open source. Pour l’instant, ce n’est vraiment pas le moment de rester dans le soupçon et de faire la leçon
C’est un changement bienvenu. Cela dit, il reste l’impression qu’ils cherchent à être un peu trop malins avec les licences. En particulier, la façon de combiner du code GPL et du code sous licence propriétaire semble être la cause profonde de cette affaire
Le modèle open core convient mieux aux services hébergés qui ne distribuent pas d’artefact combinant GPL et code propriétaire. Faire de l’open core côté code client me paraît trop propice aux malentendus et à la confusion
J’espère quand même que ça se passera bien. C’est un bon produit