HashiCorp Mengadopsi Business Source License
(hashicorp.com)- HashiCorp akan mengubah lisensi kode sumber untuk rilis produk mendatang dari MPL 2.0 menjadi Business Source License v1.1, sambil berupaya mempertahankan investasi pada komunitas dan produk
- Model open source yang ada telah membangun ekosistem besar, tetapi HashiCorp menilai masalah makin membesar ketika sebagian vendor memanfaatkan karya komunitas secara komersial tanpa memberikan kontribusi nyata
- BSL 1.1 adalah lisensi source-available yang mengizinkan penyalinan, modifikasi, redistribusi, penggunaan nonkomersial, serta penggunaan komersial bersyarat; API, SDK, dan sebagian besar library tetap menggunakan MPL 2.0
- Pengguna akhir, partner, serta pelanggan produk enterprise dan cloud terkelola secara umum dapat melanjutkan penggunaan yang sudah ada, tetapi pengecualiannya adalah penyediaan produk yang bersaing dengan HashiCorp
- Vendor yang menyediakan layanan pesaing di atas produk komunitas HashiCorp akan makin sulit mengintegrasikan rilis, perbaikan bug, dan patch keamanan mendatang
Cakupan perubahan lisensi
- Lisensi kode sumber untuk semua rilis produk HashiCorp mendatang berubah dari Mozilla Public License v2.0(MPL 2.0) menjadi Business Source License(BSL atau BUSL) v1.1
- API, SDK, dan hampir semua library lain dari HashiCorp tetap menggunakan MPL 2.0
- Kode sumber produk dan pembaruan akan tetap dipublikasikan di repositori GitHub dan kanal distribusi HashiCorp
- HashiCorp menargetkan pendekatan yang membagikan kode sumber secara luas dan memungkinkan penggunaan gratis, sekaligus meminimalkan dampak bagi komunitas, partner, dan pelanggan
Model open source dan beban komersialisasi
- Ada tiga alasan HashiCorp merilis produknya sebagai open source saat perusahaan didirikan
- Praktisi harus dapat mengunduh dan meninjau kode sumber secara bebas serta menyelesaikan masalah sendiri
- Perlu membangun ekosistem dan komunitas di sekitar produk agar integrasi yang luas dimungkinkan
- Transparansi penting bagi pengguna
- Selama lebih dari 10 tahun, HashiCorp menyediakan produk dan fitur baru di bawah lisensi open source gratis, dan terbentuk komunitas besar yang terdiri dari pengguna, kontributor, partner, dan pelanggan
- Setiap tahun HashiCorp menginvestasikan puluhan juta dolar untuk riset dan pengembangan produk open source, dan model ini dimungkinkan oleh pelanggan komersial yang bekerja sama dengan HashiCorp pada infrastruktur mission-critical
- HashiCorp bekerja erat dengan penyedia cloud untuk menyediakan integrasi bagi pengguna dan pelanggan bersama, serta telah bekerja sama dengan ratusan partner teknologi
Cara penerapan BSL 1.1
- BSL 1.1 adalah lisensi source-available yang mengizinkan penyalinan, modifikasi, redistribusi, penggunaan nonkomersial, dan penggunaan komersial dengan ketentuan tertentu
- Dalam beberapa tahun terakhir, Couchbase, Cockroach Labs, Sentry, dan MariaDB juga mengambil jalur serupa; MariaDB mengembangkan lisensi ini pada 2013
- Confluent, MongoDB, Elastic, Redis Labs, dan lainnya juga disebut sebagai contoh pihak yang mengadopsi lisensi alternatif dengan pembatasan penggunaan komersial
- Penerapan BSL oleh HashiCorp mencakup izin penggunaan tambahan yang memungkinkan penggunaan kode sumber secara luas dan permisif
- Dalam proses pengembangan lisensi, HashiCorp berkonsultasi dengan pakar lisensi OSS dan pemangku kepentingan industri untuk menyesuaikannya dengan praktik industri
Dampak bagi pengguna, partner, dan pelanggan
- Pengguna akhir tetap dapat menyalin, memodifikasi, dan mendistribusikan ulang kode untuk semua penggunaan nonkomersial dan komersial, kecuali jika mereka menyediakan produk yang bersaing dengan HashiCorp
- Partner dapat terus membangun integrasi untuk pelanggan bersama
- HashiCorp berencana terus bekerja erat dengan penyedia layanan cloud untuk mempertahankan dukungan mendalam terhadap teknologi masing-masing
- Tidak ada perubahan bagi pelanggan produk HashiCorp enterprise dan cloud terkelola
- Vendor yang menyediakan layanan yang bersaing dengan HashiCorp berdasarkan produk komunitas tidak lagi dapat mengintegrasikan rilis, perbaikan bug, dan patch keamanan mendatang ke dalam produk HashiCorp
Panduan lanjutan
- HashiCorp menyatakan komitmennya kepada komunitas, partner, dan pelanggan tidak berubah
- Untuk pertanyaan tambahan, HashiCorp menyediakan frequently asked questions
1 komentar
Pendapat Hacker News
Kesimpulan yang bisa diambil di sini hanyalah HashiCorp bukan lagi perusahaan open source
Adanya “vendor yang memanfaatkan model OSS murni dan kerja komunitas untuk tujuan komersial tanpa mengembalikan kontribusi nyata” itu 100% sejalan dengan semangat open source
Kalau itu masalahnya, pakai saja lisensi open source seperti AGPL yang memaksa developer membuka kodenya
Ini hanya cara HashiCorp agar proyek open source lama bisa dikomersialkan hanya oleh mereka sendiri, dan itu sendiri tidak apa-apa, tapi kalau begitu mereka harus beralih saja ke closed source dan mengakuinya, bukan mencoba mendapatkan keduanya
Tulisan blog itu tidak jujur. Kami beberapa kali mencoba menyumbangkan perbaikan upstream ke penyedia Terraform, tetapi HashiCorp tidak pernah menerimanya, sehingga kami harus mempertahankan fork
HashiCorp sudah lama kehilangan DNA OSS, dan langkah ini seperti paku terakhir di peti mati
Untungnya, seiring waktu sebagian besar tanggung jawab penyedia Terraform telah dialihkan ke para partner, jadi saya berharap ekosistem penyedia tetap bisa aktif dan terbuka
Saya sangat percaya pada open source. Proyek terakhir saya di Microsoft juga adalah membuat .NET menjadi open source dan lintas platform, CTO kami terlibat dalam pendirian TypeScript, dan Pulumi juga merupakan proyek open source Apache. HashiCorp tampaknya tidak lagi seperti itu
Secara garis besar, zaman sudah berubah, dan menurut saya source terbuka seharusnya bukan soal “kalau tidak memberikan semuanya secara gratis berarti tidak asli”, melainkan hubungan saling menguntungkan antara pihak yang membuat dan pihak yang memakai
Pengguna harus bisa memahami dan memperluas apa yang sedang berjalan dari source, dan pengelola, pemelihara, serta pemilik proyek harus bisa terus melakukan pekerjaan itu
Ini bukan titik keseimbangan yang harus dicapai, melainkan keseimbangan yang harus dipertahankan di tengah ketegangan
Saya cek Wikipedia, katanya HashiCorp menetapkan persyaratan IPO pada 29 November 2021
Rasanya hipotesis ini makin terlihat benar. Data anekdotal, baik contoh yang membantah maupun mendukung, dipersilakan
Hanya karena bukan open source bukan berarti source-nya harus disembunyikan, dan juga bukan berarti semua karakteristik lisensi yang disetujui OSI harus dihilangkan
Tentu akan lebih baik jika itu free software, tetapi itu sama saja dengan mengatakan akan lebih baik jika semua software adalah free software
Masalah muncul ketika lisensi yang tidak bisa mendapat persetujuan OSI berpura-pura disebut open source. HashiCorp tidak lagi mengklaimnya sebagai open source dan kini menyebutnya “source-available”
Cukup mengecewakan. Secara pribadi saya tidak banyak memakai produk selain Vault, dan saya pernah mencoba Terraform tetapi tidak menikmatinya atau membangun apa pun di atasnya, namun ini bertolak belakang dengan hal yang paling saya sukai dari produk HashiCorp
Bahkan saya pernah berkontribusi pada manajemen sertifikat, sebagian kode yang paling sering saya gunakan di Vault, dan sekarang saya harus mempertimbangkan kembali apakah ke depannya bisa menyarankan layanan itu kepada klien, atau apakah akan berkontribusi lagi
Rasanya, ketika pendanaan VC mulai mengering, masa depan terburuk dari lisensi non-GPL mulai terlihat
Ini menyedihkan bagi orang-orang yang sengaja mempelajari OSS dan pengelolaannya dengan impian suatu hari memanfaatkan pengetahuan itu untuk membangun layanan, menjadi bos bagi diri sendiri, dan terus memberi kembali kepada OSS yang telah membawa mereka sampai sejauh ini
Saya punya banyak pengalaman mengimplementasikan dan mengoperasikan Vault enterprise untuk pengelolaan secret aplikasi di seluruh infrastruktur perusahaan
Selama beberapa tahun ketika mengadopsi Vault dan menegosiasikan kontrak, saya melihat para sales engineer mengatakan hal-hal yang tidak akurat atau menyesatkan tentang fitur yang “dibutuhkan” untuk use case, serta membuat janji fitur jangka panjang yang tidak bisa mereka penuhi
Mereka juga merekomendasikan pola integrasi yang membuat migrasi keluar dari Vault praktis mustahil atau berisiko, dan terus mengambil fitur yang kami kira akan gratis selamanya. Login Okta/MFA adalah contoh terbesarnya; compliance serius sulit lolos tanpanya, dan tampaknya HashiCorp menyadari bahwa tim yang sangat bergantung pada Vault pada akhirnya tidak punya pilihan selain membayar fitur ini
Secara keseluruhan itu tampak seperti vendor lock-in yang kuat, dan setiap tahun kami harus membayar lebih mahal untuk fitur yang sama atau lebih sedikit. Kebijakan harga yang bahkan tidak bisa dijelaskan para engineer pun terus berubah-ubah secara sewenang-wenang
Saya melihat Vault sendiri sebagai software yang hebat, tetapi karena saya kehilangan kepercayaan pada HashiCorp, secara pribadi saya rasa saya tidak akan bergantung padanya untuk hal-hal penting
Jika dibaca apa adanya, tidak ada yang berubah, dan ini bukan mengecewakan melainkan pilihan cerdas. Ini melindungi diri dari penyedia cloud yang berulang kali menyalahgunakan niat baik komunitas open source
Proyek OSS yang meminta kontributor mengalihkan hak cipta tidak boleh dipercaya, dan sejak awal tidak seharusnya menerima kontribusi dengan iktikad baik
Jika tidak, hari ini bisa saja Apache 2.0, tetapi besok berubah menjadi komersial tanpa meminta izin siapa pun. Karena maintainer memiliki 100% kode
Proyek OSS yang didukung entitas komersial biasanya jarang menerima kontribusi eksternal dalam jumlah yang berarti, tetapi tetap saja ini detail penting yang perlu dipikirkan dalam OSS
Mengatakan sesuatu seperti “model open source komersial harus berevolusi agar ekosistem dapat terus menyediakan perangkat lunak yang terbuka dan bebas digunakan”, sambil mengisyaratkan bahwa lisensi non-open source seperti BUSL adalah bagian dari evolusi model open source, itu adalah kebingungan serius atau penyesatan yang disengaja
Apakah pernah ada pihak dalam skala yang berarti yang menggunakan produk HashiCorp untuk benar-benar bersaing dengan HashiCorp?
[1]: https://www.pulumi.com/docs/concepts/vs/terraform/#:~:text=U...
Pulumi dapat mengonversi Terraform Provider apa pun agar bisa digunakan di Pulumi, sehingga semua infrastruktur yang didukung ekosistem Terraform Providers dapat dikelola dengan program Pulumi
Perusahaan mengambil langkah seperti ini karena perusahaan seperti Amazon memanfaatkan lisensi bebas dan open source untuk membangun versi self-hosted dari proyek open source
ctrl+f, terlihat di mana mereka mulai berhenti memakai ungkapan ituHashiCorp menjelaskan perubahan ini bukan untuk mempertahankan “open source”, melainkan untuk mempertahankan produk yang terbuka dan bebas digunakan
Menurut saya mereka lebih jujur daripada sebagian pihak lain karena tidak mengatakan bahwa mereka tetap “open source” setelah mengganti lisensi. Mereka jelas tahu akan ada reaksi keras jika menyebutnya begitu
Menarik bahwa @mitchellh tidak ikut dalam percakapan. Dulu ia berkomunikasi langsung di HN, dan saya kira ia juga punya pengaruh akhir atas keputusan ini
Secara umum ini terlihat seperti langkah pecundang. Lihat saja apa yang terjadi pada Elasticsearch. Bagi saya dan kebanyakan orang, ES sudah tidak ada lagi. Kami dengan senang hati pindah ke OpenSearch dan tidak menoleh kembali pada kimchi malang itu. Karena tindakannya sendiri, Elasticsearch sudah tidak relevan lagi
Apakah langkah HashiCorp ini akan memicu upaya serupa untuk mem-fork versi terakhir Terraform dan tool lain yang berlisensi open source? Kalau pembuatnya menjadi pelit dan tidak percaya diri, lalu bersikap bermusuhan terhadap komunitas open source yang ikut membangunnya, pilihan lain apa yang ada?
Saya sangat kecewa pada kepemimpinan HashiCorp. MitchellH dan Armon Dadgar seharusnya memperlakukan komunitas lebih baik dari ini
Pada 2016 saya wawancara di HashiCorp dan akhirnya menolak bergabung; saya sempat sedikit menyesali keputusan itu. Sekarang setelah sifat aslinya terlihat, saya yakin itu adalah pilihan yang benar
Ada ungkapan soal kepercayaan, bukan? Kepercayaan butuh bertahun-tahun untuk dibangun, beberapa detik untuk dihancurkan, dan selamanya untuk dipulihkan
Mengejutkan bahwa orang-orang yang saya kira pintar bisa sebodoh ini
Tidak perlu menghina orang yang sudah menyelesaikan banyak hal
Perangkat lunak mereka open source, dan hal-hal yang bagus akan di-fork, jadi tidak perlu membenci HashiCorp
Saya juga tidak setuju dengan ungkapan “kepercayaan butuh bertahun-tahun untuk dibangun, beberapa detik untuk dihancurkan, dan selamanya untuk dipulihkan”. Itu terlalu agresif
HashiCorp membuat banyak hal hebat dan mencoba bisnis berbasis open source. Mereka tidak melanggar kontrak atau melakukan hal yang tidak etis; ini adalah pilihan mereka
Ini terlihat seperti akhir yang tak terelakkan bagi semua perusahaan open source setelah uang gratis berakhir. Yang mengganggu adalah rumusannya cukup kabur
HashiCorp mengatakan bahwa mereka memandang produk pesaing sebagai “produk atau layanan yang ditawarkan kepada pengguna atau pelanggan di luar organisasi, yang fungsinya secara substansial tumpang tindih dengan produk dan layanan komersial HashiCorp”
Misalnya, bayangkan tidak ada layanan estimasi biaya, lalu Anda membuat sesuatu dan itu menjadi populer: https://github.com/infracost/infracost
Apa yang terjadi kalau 2 tahun kemudian Terraform Cloud mengikuti? Haruskah bisnisnya ditutup?
Namun pada produk inti bisnis yang lebih besar seperti database, terlihat belitan yang jauh lebih aneh, seperti membuat self-hosting menjadi sulit atau membatasi fitur penting
Itu lebih baik daripada closed source, tetapi tidak ideal. Sudah cukup lama saya berpikir bahwa lisensi mungkin menjadi jalan keluar yang praktis, tetapi harus dipahami luas, adil, dan jelas
Ungkapan “produk atau layanan yang ditawarkan kepada pengguna atau pelanggan di luar organisasi dan fungsinya secara substansial tumpang tindih” itu menyakitkan. Dari sisi rumusan, (1) tidak jelas dan (2) kewenangan atas ambiguitas itu condong ke pihak perusahaan, membuka jalan bagi penegakan selektif
Dalam situasi menandatangani dokumen hukum, “jangan khawatir, kami tidak akan mengejar siapa pun” tidak meyakinkan. Menurut saya, menumpuk kewenangan yang saat ini tampak lunak atau bisa digunakan di masa depan dalam sebuah kontrak adalah tanda bahaya besar
Saya penasaran bagaimana orang lain melihat lisensi ini sendiri
Poin “2 tahun kemudian Terraform Cloud mengikuti” itu benar-benar bagus. Cakupan perusahaan bisa berubah
Menurut https://www.couchbase.com/blog/couchbase-adopts-bsl-license/, BSL biasanya menetapkan tanggal perubahan antara 1–4 tahun, dan pada saat itu lisensi BSL beralih ke lisensi perubahan yang bersifat open source seperti GPL, AGPL, Apache, dan lainnya
Jadi pertanyaan terpenting adalah apa lisensi perubahannya dan berapa lama waktunya
Kalau setelah 1 tahun berpindah ke MPL 2.0, itu tidak masalah. Namun jika jauh lebih lama dan lebih restriktif, itu adalah perubahan sikap total, dan versi open source akan terlalu jauh tertinggal dari versi terbaru sehingga praktis tidak bisa dipakai
Edit: MPL 2.0 setelah 4 tahun
https://www.hashicorp.com/license-faq#What's-the-difference-...
Kalau menyangkut keamanan, 4 tahun praktis hanya menjadi “kepentingan historis”
4 tahun, MPL 2.0
Entah untuk perusahaan lain, tapi saya selalu bertanya-tanya di mana posisi software perusahaan-perusahaan seperti ini sekarang jika sejak awal menggunakan lisensi non-bebas
Ini tidak hanya memusuhi perusahaan raksasa yang ingin “mencuri” kode lalu menjalankannya sebagai layanan, tetapi juga pengguna akhir, individu kecil, dan perusahaan kecil
Jika Anda berhasil mengoperasikan dan menggunakan software HashiCorp lalu dianggap sebagai pesaing, HashiCorp bisa memutuskan untuk menghentikan Anda
Misalnya https://github.com/hashicorp/vault/blob/main/go.mod#L25
Kalau sejak awal dimulai dengan BSL, sepertinya tidak akan diadopsi seluas ini
Halaman CLA HashiCorp dua bulan lalu: https://web.archive.org/web/20230610041432/https://www.hashi...
Tertulis bahwa “agar HashiCorp dapat membangun bisnis yang berkelanjutan sekaligus menjaga proyek tetap berada di bawah lisensi bebas dan open source seperti MPL2, kami meminta kontributor eksternal menandatangani Contributor License Agreement (CLA)”
Juga tertulis bahwa “HashiCorp berkomitmen menerapkan lisensi free and open source software (FOSS) yang sesungguhnya pada software non-komersial. CLA memungkinkan HashiCorp mengomersialkan produk dengan aman sambil tetap mempertahankan semua hak yang diberikan lisensi FOSS standar kepada pengguna, seperti hak untuk menggunakan dalam proyek atau bisnis sendiri, menerbitkan ulang source yang dimodifikasi, hingga melakukan fork penuh”
Mengecewakan bahwa bahasa non-hukum di halaman itu berulang kali mengisyaratkan bahwa penandatanganan CLA membantu menjaga proyek HashiCorp tetap open source, padahal teks kontrak sebenarnya tidak memberikan jaminan seperti itu
Seseorang perlu mencoba menggugat ketika premis CLA, yaitu situasi ketika kontribusi dilisensikan ulang menjadi non-FOSS, berubah
Kebanyakan CLA sangat kering, tetapi HashiCorp memasukkan sejumlah pernyataan ke dalam CLA mereka, jadi ini bisa saja menyulitkan mereka
Satu-satunya alasan meminta hal seperti itu adalah untuk relicensing, dan jika sudah FOSS, satu-satunya alasan melakukan relicensing adalah untuk beralih ke software proprietary
Linux tidak meminta CLA untuk kontribusi. Hanya para badut yang berpura-pura open source ini yang memintanya
Perusahaan OSS kami menggunakan Apache 2.0 dan dibangun dengan Nomad sebagai inti
Kami menambahkan beberapa layanan di sekitarnya untuk menyediakan orkestrasi server game, dan ini bisa disalahpahami oleh HashiCorp sebagai “menyediakan produk pesaing”
Karena lisensinya sengaja dibuat ambigu, kami berencana membekukan versi Nomad pada versi MPL terakhir
Kami juga memakai CockroachDB dan itu BSL, tetapi kami sama sekali tidak menyediakan produk yang bersaing dengan mereka
Saya kemungkinan besar tetap akan merekomendasikan produk HashiCorp seperti Nomad, Consul, Terraform, dan Packer kepada orang yang meminta saran, tetapi perubahan ini terdengar mengecewakan
Untuk yang penasaran, kami memelihara SBOM sederhana: https://github.com/rivet-gg/rivet/blob/main/docs/infrastruct...
Saya lead engineering Nomad. Lisensi berada di luar kendali saya, tetapi banyak pengguna khawatir apakah suatu hari mereka bisa ditafsirkan sebagai pesaing
Saya tidak bisa berjanji, tetapi saya akan melakukan apa pun sebisa mungkin agar Anda yakin bahwa Nomad masih merupakan tool yang tepat untuk pekerjaan Anda
Secara pribadi, saya rasa tidak masalah. Jika tujuan akhirnya adalah menjadi platform SaaS, saya berharap lebih banyak proyek open source sejak awal dimulai dengan Business Source License
Saya sudah berulang kali melihat perusahaan-perusahaan besar menyalahgunakan semangat open source demi keuntungan finansial mereka sendiri, tidak memberikan apa pun kembali, dan bertindak dengan itikad buruk
Menggunakan sesuatu yang telah dibuat terbuka dan tersedia tidak dianggap sebagai tindakan beritikad buruk, dan mereka juga rela membagikannya secara gratis
Kalau tidak begitu, itu bukan open source. Tentu saja tidak semua perangkat lunak harus open source, jadi itu juga tidak masalah
Yang menyalahgunakan semangat open source justru pihak yang membuat aturan sewenang-wenang tentang penggunaan
Meski begitu, memang lebih baik membuatnya jelas sejak awal