Le développeur d’Excalidraw, plugin le plus téléchargé d’Obsidian, conteste le score du nouveau site communautaire d’Obsidian

Après qu’Obsidian a rendu publics sur son nouveau site communautaire des avis sur la sécurité, la qualité et la maintenance des plugins, Zsolt (zsviczian), développeur d’Excalidraw — le plugin le plus téléchargé avec 6,1 millions de téléchargements cumulés (environ 5 % du total) — a exposé son point de vue de développeur dans une vidéo de 27 minutes. Le CEO d’Obsidian, Steph Ango (kepano), a lui aussi réagi immédiatement avec une longue réponse sur Reddit, prolongeant la controverse.

Que s’est-il passé ?

• Obsidian compte environ 4 000 plugins et 120 millions de téléchargements cumulés. Alors que des sites tiers d’évaluation se sont multipliés en mettant l’accent sur les problèmes de sécurité, une réponse officielle est devenue inévitable.
• Le nouveau site communautaire publie des scorecards automatisées sur la qualité (quality), la maintenance (maintenance) et la sécurité/qualité du code (security).
• Les revues automatiques s’appuient sur obsidianmd/eslint-plugin, déjà publié depuis l’an dernier, et font l’objet d’échanges avec les développeurs sur un canal Discord depuis juin 2025.
• Excalidraw affichait initialement un score d’environ 38 à 40 %, avec la mention "high risk". Zsolt a déclaré avoir eu "l’impression que l’œuvre de [sa] vie était salie".

Les arguments de Zsolt

• L’écart entre le "score du scanner" et la réalité — une centaine de liens externes ont été classés comme risqués, alors qu’il s’agissait en pratique de liens d’opt-in pour l’OCR/IA, de vidéos d’aide, de liens vers le store de scripts, etc., sans aucune intention malveillante.
• Les limites de l’API d’Obsidian rendent du code de contournement inévitable — API Electron pour l’impression PDF, export SVG de MathJax, absence de distribution de polices et de multi-assets → des implémentations de contournement sont aussitôt signalées comme "high risk".
• On impose des standards commerciaux à un développeur amateur — ce n’est pas un projet à plein temps mais un projet "0,1 personne", qui se retrouve soudain face à des attentes de qualité dignes de l’entreprise.
• Absence de framework pour les plugins payants — sur 110 000 utilisateurs réguliers, il n’y a qu’environ 100 soutiens (0,09 %). En dehors de Ko-fi, il n’existe pratiquement aucun moyen de monétisation.
• Crainte d’un retour au closed source — éviter les scans pourrait créer une incitation à rendre les projets privés.
• Quel est le vrai critère de confiance ? — "La durée de vie d’un plugin, le niveau de support et la relation avec le développeur comptent davantage qu’une revue de sécurité."
• Il dit avoir travaillé 4 jours pour faire remonter son score à 78 %.

Réponse de Steph Ango (kepano) — 292 likes sur Reddit

• Un mois avant le lancement, le nouveau site, le dashboard et l’annonce avaient tous été partagés avec les alpha-testeurs (dont Zsolt), et des centaines d’éléments ont été intégrés grâce aux retours des développeurs. Zsolt, lui, n’a pas répondu durant cette période.
• Les plugins populaires existants (dont Excalidraw) bénéficient d’un régime de "grandfathering", avec des règles plus souples que pour les nouveaux plugins.
• Les nouveaux plugins closed source ne seront pas approuvés pour le moment, tandis que les plugins closed source existants restent maintenus.
• Une politique, des labels et des filtres pour les plugins payants ont été ajoutés, mais les règles d’iOS/Android empêchent d’imposer les paiements in-app.
• Chez Obsidian lui-même, seuls environ 1 % des utilisateurs utilisent les offres payantes Sync/Publish — un problème structurel où les Big Tech ont ancré l’idée que le logiciel devait être gratuit.
• Lui-même ayant été par le passé développeur de thèmes/plugins populaires, il dit comprendre "la douleur de voir la plateforme changer sous ses pieds".

Réactions de la communauté

• "À une époque où les attaques sur la supply chain sont monnaie courante, renvoyer la responsabilité aux utilisateurs est un peu naïf." (mesarthim_2, 112 likes)
• "Il a pris une mesure objective comme une attaque personnelle. Si le score ne plaît pas, la bonne réponse est de corriger le score." (DeliriumTrigger)
• "La communauté open source elle-même a contribué à l’idée que le gratuit allait de soi. Il n’y a rien de honteux à devenir riche grâce à un bon logiciel." (mesarthim_2)
• "Les abonnements fatiguent. Une licence à paiement unique + un package Sync auto-hébergé m’attireraient davantage." (rg_software)
• "À mesure que l’IA abaisse la barrière d’entrée du développement de plugins, les audits de sécurité deviennent indispensables." (Legal_1425)

Pourquoi c’est important

• La structure asymétrique de "1 million d’utilisateurs × 4 000 plugins × 7 personnes dans l’équipe core" — le cas Obsidian illustre tel quel le dilemme de gouvernance de tous les petits écosystèmes open source (VSCode, Raycast, Logseq, etc.).
• Les efforts visant à accroître la transparence en matière de sécurité peuvent paradoxalement mener au burnout des développeurs amateurs → au retour vers le closed source → à la fermeture de l’écosystème.
• La vraie question reste au fond : "There’s no free lunch. Qui va payer le coût ?"

Texte original

• 💬 Reddit: https://reddit.com/r/ObsidianMD/…
• 📋 Annonce officielle d’Obsidian : The Future of Plugins