Rug pull, forks et féodalisme open source

 (lwn.net)
11 points par GN⁺ 2025-09-08 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • Synthèse sur la manière dont les dynamiques de pouvoir de l’écosystème open source fonctionnent entre entreprises, développeurs et utilisateurs, ainsi que sur l’impact des tactiques de rug pull (relicensing) et de fork qui viennent les bousculer
  • Alors que les grands fournisseurs cloud exercent une forte influence, les projets centrés sur une seule entreprise peuvent redistribuer le pouvoir via un changement de licence, et les forks apparaissent en réponse
  • L’analyse de cas comme Elasticsearch→OpenSearch, Terraform→OpenTofu, Redis→Valkey et Puppet→OpenVox montre différents schémas de recomposition communautaire et de migration des contributeurs
  • L’adoption d’un CLA, la domination par une seule entreprise et le moment du transfert à une fondation sont présentés comme des signaux de risque de rug pull, tandis qu’une gouvernance neutre et l’élargissement de la base de contributeurs institutionnels sont recommandés comme stratégies de réponse
  • En conclusion, le relicensing peut servir de moyen de contrepoids face au cloud, mais il affaiblit aussi les droits des contributeurs, tandis que la possibilité d’un fork agit comme un frein sur les décisions des entreprises

Structures de pouvoir dans l’open source, rug pulls et forks

  • Dans l’écosystème du logiciel open source, grandes entreprises, PME, contributeurs et utilisateurs exercent chacun un pouvoir pour influer sur l’orientation du logiciel et son modèle économique
  • Les grands fournisseurs cloud, en particulier, finissent par disposer d’un pouvoir considérable et tendent à dominer les petites entreprises comme les communautés
  • Dans ce contexte, des déplacements de pouvoir se produisent soit quand l’entreprise de développement ou la société propriétaire du projet change la licence du logiciel (rug pull), soit quand la communauté ou une autre entreprise lance un fork

Vue d’ensemble des dynamiques de pouvoir et des tactiques

  • Dans l’univers open source, les grands fournisseurs cloud exercent le plus fort pouvoir de canal et de distribution, créant une structure qui exploite petites entreprises, contributeurs et utilisateurs
    • À la manière du contrôle des terres à l’époque féodale, les fournisseurs cloud transforment les logiciels open source en services tout en évitant de contribuer
    • Les petites entreprises assurent l’essentiel du travail de développement, mais se retrouvent désavantagées par l’usage gratuit qu’en font les fournisseurs cloud
  • Par la tactique du rug pull, les petites entreprises relicencient leur logiciel pour répondre aux fournisseurs cloud, mais cela cause souvent des dommages encore plus importants aux contributeurs et aux utilisateurs
    • Quand les fournisseurs cloud transforment un projet en service sans contribuer, le pouvoir des petites entreprises s’affaiblit
    • Le relicensing nuit aux utilisateurs, mais un fork peut permettre de rééquilibrer le rapport de force
  • Dans les projets pilotés par une seule entreprise, le risque de rug pull est élevé, ce qui oblige à évaluer la réputation de l’entreprise, même si cela peut devenir caduc en cas de fusion-acquisition ou de faillite
    • La pression des investisseurs peut conduire à un relicensing pour accroître les revenus, surtout en situation de concurrence avec les fournisseurs cloud
    • En adoptant une licence plus restrictive, l’entreprise tente de rendre plus difficile la monétisation par des tiers et de déplacer le rapport de force
  • La création de forks à la suite d’un rug pull constitue une forme d’action collective rebelle pour reprendre du pouvoir, mais le manque de personnel et de ressources fait peser un fort risque d’échec
    • Les grandes entreprises ou les fournisseurs cloud peuvent soutenir un fork grâce à leurs ressources, mais même les forks populaires ne réussissent pas toujours
    • Il existe aussi des cas sans fork, comme MongoDB ou Sentry ; à l’inverse, l’acquisition de Puppet par Perforce et la fermeture du développement ont provoqué le fork OpenVox

Comparaison des principaux cas

Dawn Foster analyse, données à l’appui, divers rug pulls, forks et leurs effets ultérieurs. (Une partie des résultats est publiée sous forme de dataset dans un notebook Jupyter.)

  • Elasticsearch → OpenSearch
    • En 2021, après le relicensing en SSPL d’Elastic, AWS a organisé le fork OpenSearch
    • Chez Elastic, la part des contributeurs internes a peu varié avant et après le fork, tandis qu’OpenSearch reste marqué par une contribution dominée par Amazon
    • L’analyse indique qu’après le transfert à la Linux Foundation en 2024, on n’a pas observé de forte hausse des contributions externes
  • Terraform → OpenTofu
    • En 2023, juste après le passage au BSL de HashiCorp, OpenTofu a été lancé sous l’égide de la Linux Foundation
    • Terraform a conservé un modèle de contribution toujours centré sur l’interne, tandis qu’OpenTofu a rapidement attiré de nouveaux contributeurs issus de plusieurs entreprises
    • Ce cas suggère qu’un fork porté par les utilisateurs et le lancement immédiat sous fondation neutre favorisent la formation d’une communauté active
  • Redis → Valkey
    • En 2024, juste après le passage de Redis à la SSPL, une grande partie des contributeurs externes existants a migré vers Valkey
    • Redis constituait avant le fork un cas atypique avec une forte part de contributions externes ; après le fork, ces contributions externes sont tombées à zéro, tandis que Valkey a démarré comme une communauté fédérant plusieurs entreprises
  • Puppet → OpenVox
    • Après le rachat par Perforce (2022), le développement et les releases ont été fermés et leur fréquence a diminué, poussant la communauté à lancer le fork OpenVox

Observations et métriques issues des données

  • Après un rug pull, on observe souvent une hausse brutale du nombre de forks GitHub, interprétée comme un signal indirect d’une réflexion autour d’un hard fork
    • À long terme, l’original et le fork tendent à avancer en parallèle, mais l’analyse observe une baisse d’usage de l’original relicencié
  • Le lancement sous l’ombrelle d’une fondation aide à attirer des contributions au démarrage d’un nouveau projet, mais un transfert a posteriori peut avoir un effet limité
    • Le cas OpenSearch suggère qu’un simple transfert ne garantit pas à lui seul une forte hausse des contributions externes

Signaux de risque et lignes directrices

  • L’usage d’un CLA (Contributor License Agreement) est un signal qui concentre dans l’entreprise le pouvoir de relicensing et accentue le déséquilibre de pouvoir
    • Les projets fondés sur le DCO (Developers Certificate of Origin) tendent à présenter un risque de rug pull plus faible
  • Il faut examiner la gouvernance : la domination par une seule entreprise et la concentration du leadership sont des facteurs de risque
    • Les projets dotés d’une fondation neutre, d’un leadership multi-institutionnel et d’une base de contributions externes large sont avantagés du point de vue de la durabilité
  • L’ampleur et la profondeur de la base de contributeurs constituent aussi un critère d’évaluation central
    • Les entreprises ont intérêt à détacher directement des contributeurs vers les projets dont elles dépendent afin de renforcer à la fois leur influence et leur durabilité
    • Les métriques et le guide pratique de CHAOSS peuvent être utilisés pour diagnostiquer et améliorer la santé d’un projet

Recommandations sur la communauté et la gouvernance

  • L’orientation vers une gouvernance neutre et l’élargissement du nombre de contributeurs externes constituent des moyens concrets de freiner les rug pulls
    • La simple possibilité d’un fork augmente déjà le coût d’une décision de relicensing pour une entreprise et agit comme mécanisme dissuasif
  • En réponse à une question de Hazel Weakly sur les garde-fous, l’intervenante cite les succès de Valkey et OpenTofu comme cas réels ayant poussé à reconsidérer des relicensings
    • Dirk Hohndel souligne que le fait d’attirer davantage de contributeurs externes accroît le risque de rug pull et augmente donc le risque managérial associé à une telle décision

Conclusion

  • À mesure que l’influence des grands acteurs du cloud grandit, l’écosystème open source prend de plus en plus une structure féodale
  • Le changement de licence permet de contenir la puissance des fournisseurs cloud, mais produit en contrepartie un affaiblissement des droits des contributeurs communautaires
  • Les contributeurs et les utilisateurs disposent toutefois du fork comme moyen de riposte, ce qui distingue fondamentalement l’open source du féodalisme historique
  • La possibilité concrète d’un fork influe sur les décisions futures des entreprises ; les succès de Valkey et d’OpenTofu ont même conduit certaines entreprises à abandonner leurs projets de rug pull
  • En définitive, la neutralité de la gouvernance et l’activation des contributeurs externes sont la clé pour prévenir les rug pulls et maintenir un écosystème sain

Références

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.