Rug Pull, Fork, dan Feodalisme Open Source

 (lwn.net)
11 poin oleh GN⁺ 2025-09-08 | Belum ada komentar. | Bagikan ke WhatsApp
  • Ringkasan tentang bagaimana dinamika kekuasaan dalam ekosistem open source bekerja di antara perusahaan, pengembang, dan pengguna, serta dampak dari taktik rug pull (relicensing) dan fork yang mengguncangnya
  • Di tengah besarnya pengaruh penyedia cloud besar, proyek yang berpusat pada satu perusahaan dapat mendistribusikan ulang kekuasaan lewat relicensing, dan sebagai respons terhadap itu muncullah fork
  • Dari analisis kasus, Elasticsearch→OpenSearch, Terraform→OpenTofu, Redis→Valkey, Puppet→OpenVox menunjukkan pola restrukturisasi komunitas dan perpindahan kontributor yang berbeda-beda
  • Adopsi CLA, dominasi satu perusahaan, dan waktu pemindahan ke yayasan diajukan sebagai sinyal risiko rug pull, sementara governance netral dan perluasan lapisan kontribusi multi-organisasi direkomendasikan sebagai strategi respons
  • Kesimpulannya, relicensing bisa menjadi alat untuk menahan dominasi cloud, tetapi sekaligus melemahkan kewenangan kontributor, dan kemungkinan fork berfungsi sebagai daya cegah terhadap pengambilan keputusan perusahaan

Struktur Kekuasaan di Open Source, Rug Pull, dan Fork

  • Dalam ekosistem perangkat lunak open source, perusahaan besar, perusahaan kecil, kontributor, dan pengguna masing-masing menggunakan kekuasaan untuk memengaruhi arah perangkat lunak dan struktur pendapatan
  • Khususnya, penyedia cloud besar memiliki kekuatan yang sangat besar dan cenderung berada di posisi lebih unggul daripada perusahaan kecil atau komunitas
  • Dalam situasi ini, perusahaan pengembang atau pemilik proyek dapat mengubah lisensi perangkat lunak (rug pull), atau sebaliknya komunitas maupun perusahaan lain melakukan fork, sehingga terjadi perpindahan kekuasaan

Gambaran Dinamika Kekuasaan dan Taktik

  • Di dunia open source, penyedia cloud besar menjalankan kekuasaan kanal dan distribusi paling kuat, membentuk struktur yang mengeksploitasi perusahaan kecil, kontributor, dan pengguna
    • Mirip dengan kontrol tanah pada era feodalisme, penyedia cloud menjadikan perangkat lunak open source sebagai layanan sambil menghindari kontribusi
    • Sebagian besar pekerjaan pengembangan dilakukan oleh perusahaan kecil, tetapi mereka berada pada posisi yang dirugikan karena penggunaan gratis oleh penyedia cloud
  • Dengan taktik rug pull, perusahaan kecil melakukan relicensing perangkat lunak untuk menghadapi penyedia cloud, tetapi hal ini justru menimbulkan kerugian lebih besar bagi kontributor dan pengguna
    • Ketika penyedia cloud mengubah proyek menjadi layanan tanpa memberi kontribusi, kekuatan perusahaan kecil melemah
    • Relicensing merugikan pengguna, tetapi keseimbangan kekuasaan dapat disesuaikan ulang melalui fork
  • Pada proyek yang dipimpin satu perusahaan, risiko rug pull tinggi sehingga reputasi perusahaan perlu dievaluasi, tetapi hal ini bisa menjadi tidak relevan akibat merger, akuisisi, atau kebangkrutan
    • Tekanan investor dapat memicu relicensing untuk meningkatkan pendapatan, terutama saat bersaing dengan penyedia cloud
    • Dengan lisensi yang lebih ketat, perusahaan mencoba menggeser kekuasaan dengan mempersulit monetisasi oleh pihak lain
  • Munculnya fork akibat rug pull adalah bentuk aksi kolektif yang bersifat memberontak untuk memulihkan kekuasaan, tetapi risiko gagal tinggi karena kekurangan orang dan sumber daya
    • Perusahaan besar atau penyedia cloud dapat mendukung fork dengan sumber daya, tetapi fork populer pun tidak selalu berhasil
    • Ada kasus seperti MongoDB atau Sentry di mana fork tidak terjadi, sedangkan setelah Perforce mengakuisisi Puppet dan membuat pengembangan menjadi tertutup, hal itu memicu fork OpenVox

Perbandingan Kasus Utama

Dawn Foster menganalisis berbagai rug pull, fork, dan dampaknya sesudah itu melalui data. (Sebagian hasil dipublikasikan melalui dataset notebook Jupyter)

  • Elasticsearch → OpenSearch
    • Setelah SSPL relicensing oleh Elastic pada 2021, AWS mengorganisasi fork OpenSearch
    • Pada Elastic, porsi kontributor internal tidak banyak berubah sebelum dan sesudah fork, sementara di OpenSearch pola kontribusi yang dipimpin Amazon terus berlanjut
    • Analisis menyebutkan bahwa bahkan setelah dipindahkan ke Linux Foundation pada 2024, lonjakan kontribusi eksternal tetap tidak teramati
  • Terraform → OpenTofu
    • Tepat setelah peralihan ke BSL oleh HashiCorp pada 2023, OpenTofu diluncurkan di bawah Linux Foundation
    • Terraform tetap mempertahankan kontribusi yang berpusat pada internal perusahaan, tetapi ke OpenTofu kontributor baru dari berbagai perusahaan masuk dengan cepat
    • Kasus ini menunjukkan bahwa fork yang dipimpin pengguna + peluncuran yayasan netral lebih menguntungkan untuk membentuk komunitas yang aktif
  • Redis → Valkey
    • Segera setelah peralihan ke SSPL oleh Redis pada 2024, banyak kontributor eksternal yang ada berpindah ke Valkey
    • Redis adalah kasus pengecualian yang memiliki porsi kontribusi eksternal tinggi sebelum fork, tetapi setelah fork kontribusi eksternal turun menjadi 0, sementara Valkey berawal sebagai komunitas aliansi banyak perusahaan
  • Puppet → OpenVox
    • Setelah diakuisisi Perforce (2022), terjadi penutupan pengembangan dan rilis serta pengurangan frekuensi rilis, dan sebagai respons komunitas mendorong fork OpenVox

Pengamatan Data dan Metrik

  • Setelah rug pull, jumlah fork GitHub yang melonjak sering diamati, dan ini ditafsirkan sebagai sinyal proksi adanya gerakan untuk mempertimbangkan hard fork
    • Dalam jangka panjang, ada kecenderungan proyek asli dan fork terus berjalan berdampingan, tetapi analisis menunjukkan bahwa versi asli yang direlicense cenderung mengalami penurunan penggunaan
  • Peluncuran di bawah payung yayasan menguntungkan untuk menarik kontribusi pada tahap awal proyek baru, tetapi pemindahan setelah kejadian mungkin memiliki efektivitas terbatas
    • Kasus OpenSearch menunjukkan bahwa pemindahan saja tidak menjamin lonjakan kontribusi eksternal

Sinyal Risiko dan Pedoman

  • Penggunaan CLA (Contributor License Agreement) adalah sinyal yang memusatkan hak untuk melakukan relicensing pada perusahaan dan memperbesar ketimpangan kekuasaan
    • Proyek berbasis DCO (Developers Certificate of Origin) cenderung memiliki risiko rug pull yang lebih rendah
  • Diperlukan pemeriksaan governance, dan dominasi satu perusahaan serta konsentrasi kepemimpinan merupakan faktor risiko
    • Proyek yang memiliki yayasan netral, kepemimpinan multi-organisasi, dan basis kontribusi eksternal lebih diuntungkan dari sisi keberlanjutan
  • Luas dan kedalaman basis kontributor juga merupakan poin evaluasi utama
    • Perusahaan perlu memperkuat pengaruh dan keberlanjutan sekaligus dengan menugaskan kontributor langsung ke proyek yang mereka andalkan
    • Metrik dan panduan praktisi dari CHAOSS dapat digunakan untuk mendiagnosis dan meningkatkan kesehatan proyek

Saran untuk Komunitas dan Governance

  • Mendorong sistem governance netral dan memperluas kontributor eksternal adalah cara nyata untuk menekan rug pull
    • Kemungkinan fork itu sendiri menaikkan biaya keputusan relicensing perusahaan dan berfungsi sebagai daya cegah
  • Menjawab pertanyaan Hazel Weakly tentang mekanisme perlindungan, pembicara menyebut keberhasilan Valkey dan OpenTofu sebagai contoh nyata yang mendorong peninjauan ulang relicensing
    • Dirk Hohndel menekankan bahwa menarik lebih banyak kontributor eksternal meningkatkan risiko rug pull sehingga memperbesar risiko dalam penilaian manajemen

Kesimpulan

  • Seiring membesarnya pengaruh penyedia cloud besar, ekosistem open source makin berubah menjadi struktur yang bersifat feodal
  • Perubahan lisensi memang menahan kekuatan penyedia cloud, tetapi dalam prosesnya muncul efek samping berupa berkurangnya kewenangan kontributor komunitas
  • Namun, bagi kontributor dan pengguna ada sarana serangan balik bernama 'fork', dan inilah kekuatan khas open source yang membedakannya dari era feodal
  • Kemungkinan fork yang nyata memengaruhi keputusan kebijakan perusahaan di masa depan, dan dalam praktiknya beberapa perusahaan bahkan membatalkan rencana rug pull setelah terdorong oleh keberhasilan Valkey dan OpenTofu
  • Pada akhirnya, netralitas governance proyek dan aktivasi kontributor eksternal adalah kunci untuk mencegah rug pull dan menjaga ekosistem yang sehat

Referensi

Bacaan terkait

Belum ada komentar.

Belum ada komentar.