Journal OpenSSL souhaite passer en license Apache

Posté par (page perso) . Licence CC by-sa
13
24
mar.
2017

Petite information du vendredi : OpenSSL lance une campagne pour passer sous license Apache 2.0.

Il va y avoir une campagne de mails auprès des différents contributeurs d'OpenSSL afin de demander le changement de license de leurs contributions.

Et dans le même temps, le petit trolldi du BDFL d'OpenBSD.

inquire whether it is OK to change the version of gcc 4.2.1 in our source tree to from GPL to the ISC license.

Therefore, I am asking all authors to respond to this thread if they object.

If we do not hear from you, we will assume that you have no objection

Je sais pas pour vous, mais ces changements de licenses m'inquiètent un peu.

  • # Pourquoi?

    Posté par (page perso) . Évalué à 7.

    mais ces changements de licenses m'inquiètent un peu.

    Ca fait un peu peur irrationnelle, je voudrai troller que je te donnerai des exemples provocateurs de "personnes inquiètes mais je ne dis pas pourquoi".

    Ce serait sympa de préciser pourquoi ces changements de licences t'inquiètent un peu.


    Après, oui, c'est un peu bizarre cette communication car on a déjà les contacts des gens donc on peut demander directement aux gens et lister les gens injoignable à la limite en campagne publique, je comprend le troll. Espérons que ça enseigne aux gens les problèmes qu'on a à ne pas demander de CLA.

    • [^] # Re: Pourquoi?

      Posté par (page perso) . Évalué à 10.

      Perso je me demande si légalement c'est possible de partir du principe que l'absence de réponse vaut acceptation pour le changement de la licence.

      En dehors de cela, je te rejoins complètement.

      • [^] # Re: Pourquoi?

        Posté par . Évalué à 3.

        je me demande si légalement c'est possible de partir du principe que l'absence de réponse vaut acceptation

        Évidemment que non. Mais pragmatiquement, ça donne quand même une roue de secours, parce qu'il y a peu de chances que des gens ne répondent pas au message initial mais soient quand même suffisamment motivés pour poursuivre en justice les distributeurs des versions aux licences modifiées…

    • [^] # Re: Pourquoi?

      Posté par . Évalué à 3.

      on a déjà les contacts des gens donc on peut demander directement aux gens et lister les gens injoignable à la limite en campagne publique

      Sauf qu'il y a des personnes qui disparaissent de internet (comme Mark Pilgrim auteur du bouquin "Dive into Python") ou qui tout simplement meurt. C'est d'ailleurs un des arguments de Linus Torvalds pour dire que Linux est bloque a GPL-v2 (sans compter qu'il peut pas blairer la v3 :) )

    • [^] # Re: Pourquoi?

      Posté par (page perso) . Évalué à 1.

      Ce serait sympa de préciser pourquoi ces changements de licences t'inquiètent un peu.

      Je tiens à m'excuser, effectivement j'aurais dû préciser le fond de ma pensée.

      Dans le cas d'OpenSSL, la licence est "à la base" proche de celle d'Apache, mais ma réaction était plutôt autour de celle du port de GCC dans OpenBSD. GCC étant sous GPL, il offre plusieurs garanties aux utilisateurs, dont notamment une que je considère la plus importante : la redistribution du code modifié. Pourquoi est-elle importante ?

      • ça permet de vérifier que le code qu'on lance est bien celui qu'on attend
      • ça permet d'adapter le logiciel quand on est sur une plateforme non supportée par le logiciel (je sais, plutôt rare, mais ça arrive)
      • ça permet aussi d'identifier les fonctionnalités du logiciel, notamment de savoir ce qui est transmis vers l'extérieur
      • ça permet de redistribuer les améliorations au projet upstream

      La licence Apache, si je me réfère au texte officiel, donne aux développeurs le droit de distribuer un logiciel modifié SANS donner le code source. Alors certes, ça permet de protéger la propriété intélectuelle des entreprises, mais qui doit servir le logiciel ? L'utilisateur ou l'entreprise ?

      Si tous les logiciels commençaient à être placés en MIT/Apache, que se passerait-il ? J'imagine clairement des noyaux Linux fournis sous format binaire directement par Intel, AMD, Broadcom, etc. C'est cela qui me fait peur : retourner à un moment où la plupart des logiciels étaient des gros blobs fermés. (NB: je sais que même le noyau est bardé de firmwares, mais la situation pourrait être réellement pire)

      La communication de Theo de Raadt est un autre point, c'est bien la première fois que je vois une telle réaction, en mode "dis-moi qqch ou alors je fais comme je veux".

      • [^] # Re: Pourquoi?

        Posté par (page perso) . Évalué à -3. Dernière modification le 24/03/17 à 16:30.

        le droit de distribuer un logiciel modifié SANS donner le code source

        OK, tu n'aimes pas qu'on laisse trop de liberté aux gens "pour le bien générale", c'est un classique de gueguerre dans le libre copyleft vs copyfree (je passe donc sur le troll classique que donner encore plus de libertés seraient pas bien, PHP/Apache/CLang et j'en passe montrent tous les jours que ce n'est pas si horrible que ça pour le libre), mais ça ne dit pas pourquoi les pro-copyfree seraient inquiétants. Que tu n'aimes pas, OK, mais pourquoi on t'inquiète? le copyfree n'est pas mangeur d'enfants tu sais…

        Bref, tu as argumenté sur pourquoi tu n'aimes pas, mais tu n'as pas démontré (j'ai l'impression en tous cas) pourquoi c'est inquiétant (je fais la différence entre ne pas aimer et être inquiet, l'un des mots me semble plus violent comme si les autres étaient méchant et allez attaquer quelqu'un)

        Si tous les logiciels commençaient à être placés en MIT/Apache, que se passerait-il ? J'imagine clairement des noyaux Linux fournis sous format binaire directement par Intel, AMD, Broadcom, etc. C'est cela qui me fait peur : retourner à un moment où la plupart des logiciels étaient des gros blobs fermés. (NB: je sais que même le noyau est bardé de firmwares, mais la situation pourrait être réellement pire)

        Tu n'aimes pas trop de liberté, j'ai compris, mais pourquoi as-tu besoin de FUDer? Tu n'as pas assez confiance en les qualités de ce que tu aimes pour devoir FUDer?
        Perso je trouve dommage d'en arriver la, ça montre de mon point de vue bien personnel un manque de confiance dans le modèle qu'on aime, mais bon c'est juste un point de vue.

        allez je contre-balance avec un point de vue tout aussi subjectif :

        Si tous les logiciels commençaient à être placés en MIT/Apache, que se passerait-il ?

        On arrêterai de perdre de l'énergie à se prendre la tête sur les incompatibilités de licences (vive la guerre GPLv2 vs GPLv3! du copyleft venant de pro-copyleft à fond incompatible, impossible à deux projets copyleft parfois de juste être livré ensemble) et on passerait plus de temps à coder.
        Mon évolution vis à vis du copyleft.

        La communication de Theo de Raadt est un autre point, c'est bien la première fois que je vois une telle réaction, en mode "dis-moi qqch ou alors je fais comme je veux".

        Perso j'ai compris que c'était juste une blague par rapport à OpenSSL, je me trompe?

      • [^] # Re: Pourquoi?

        Posté par (page perso) . Évalué à 9.

        Si tous les logiciels commençaient à être placés en MIT/Apache, que se passerait-il ? J'imagine clairement des noyaux Linux fournis sous format binaire directement par Intel, AMD, Broadcom, etc. C'est cela qui me fait peur : retourner à un moment où la plupart des logiciels étaient des gros blobs fermés. (NB: je sais que même le noyau est bardé de firmwares, mais la situation pourrait être réellement pire)

        Cela ne protège rien du tout, ce que tu crains existe déjà.
        Il suffit de bosser un peu dans l'embarqué pour le voir, tu as ton constructeur (Texas Instrument, nVidia, Qualcomm, Broadcom, ou tout autre nom) qui pour une puce donnée va te filer le noyau patché qui va bien pour pouvoir exploiter la puce vendue.

        Sauf que le travail est tellement de basse qualité que tu peux te brosser pour tout corriger toi même (on parle de plusieurs centaines de milliers de lignes pour chaque constructeur), pour le porter upstream, pour éventuellement backporter des correctifs du noyau officiel ou à l'inverse pour changer de version du noyau. En gros, tu restes tributaire de ton fournisseur. S'il ne veut pas faire de mise à jour du noyau, tu peux rêver.

        Bref, la GPL ne protège en rien contre cela, qu'ils font ça par malveillance (cela ne serait que partiellement vrai), c'est que de faire le travail proprement demande des compétences et du temps. Et ce n'est pas dans leur culture de le faire donc ils font le minimum exigé légalement et commercialement et cela s'arrête là.

        Donc oui, la GPL te permet de constater les merdes qu'ils font, éventuellement corriger ou ajouter quelques trucs, mais guère plus. Avec un blob ce serait presque pareil.

  • # Légal ?

    Posté par . Évalué à 1.

    Soit je connais moins le droit d'auteur que ce que je pensais, soit ce qu'ils font n'est pas légal. Par défaut, en l'absence d'un accord explicite, l'auteur garde tous les droits. Actuellement, l'accord, c'est la GPL. Sans nouvel accord, l'ancien continue de s'appliquer.

    Là, ils sont bien en train de dire que si on ne répond pas, ils vont changer unilatéralement le contrat ? C'est moi qui loupe un truc, ou c'est complètement illégal (et donc va les mettre avant tout dans une situation intenable si un contributeur réagit dans 2 ans pour dire qu'il veut que ça reste sous GPL) ?

    • [^] # Re: Légal ?

      Posté par (page perso) . Évalué à 2. Dernière modification le 24/03/17 à 13:43.

      Depuis quand c'est sous GPL? Wikipedia dit "Apache 1.0 et/ou BSD 4-clauses".

      C'est justement le principal intérêt de OpenSSL en dehors du monde du libre: c'est, je crois, la seule implémentation de SSL qui n'est pas sous GPL et c'est pour ça qu'elle est beaucoup utilisée.

      Je ne sais pas comment est écrite exactement leur license (vu qu'il y en a 2), mais pour la GPL en tout cas, il y a souvent un "at your option, any mater version" qui permet de se mettre à jour de la GPL 2 à la version 3, par exemple. Est-ce que la licence Apache a été appliquée avec le même genre de précautions chez OpenSSL?

      De toutes façons, on peut garder l'ancien code avec l'ancienne licence et migrer le nouveau code (ou celui des gens qui sont d'accord) petit à petit vers la nouvelle, vu qu'elles ne sont pas incompatibles. De la même façon que tu peux prendre du code sous licence BSD et le mélanger avec du code sous licence GPL sans accord de l'auteur initial.

      • [^] # Re: Légal ?

        Posté par . Évalué à 2.

        De la même façon que tu peux prendre du code sous licence BSD et le mélanger avec du code sous licence GPL sans accord de l'auteur initial.

        Hum pour la nouvelle licence BSD je crois mais là c'est l'ancienne (4-clause).

        splash!

      • [^] # Re: Légal ?

        Posté par . Évalué à 1.

        Désolé, je me suis mélangé avec la seconde partie du journal. >_< Openssl n'est effectivement pas GPL.

    • [^] # Re: Légal ?

      Posté par . Évalué à 2. Dernière modification le 24/03/17 à 13:43.

      Légal pour quelle législation ? Française, européenne, américaine, celle du Zimbabwe ? Je suppose que c'est la législation américaine…

      D'après le mail cité dans le journal, la procédure a été validée par la SFLC et d'autres. Cela me semble curieux aussi, mais s'agissant d'une œuvre collective ou collaborative (il y a des critère précis là-dessus en droit français, mais encore une fois je ne sais pas quel droit s'applique ici) il n'est pas sûr que l'accord de tous les auteurs soit nécessaire.

      • [^] # Re: Légal ?

        Posté par . Évalué à 2.

        Bah, en France, c'est la législation française. Pour prendre un exemple, Le petit prince est dans le domaine public au Canada, pas en France (bien que ce soit l'œuvre d'un Français). Là pareil, si c'est valable aux États-Unis, mais pas en France, alors ce ne sera pas juridiquement sûr de l'utiliser en France.

        Théoriquement, il faudrait que ce soit OK dans chaque État. En pratique, si c'est valable en France, il y a de grandes chances que ce soit aussi valable dans le reste de l'UE (et réciproquement).

        Pour l'œuvre collective, de mémoire, c'est si on ne peut pas distinguer le travail de chaque auteur. Je reste dubitatif.

        • [^] # Re: Légal ?

          Posté par (page perso) . Évalué à 2.

          Le cas de saint-ex est particulier. Avant la durée était de 50 ans après la mort et on doublait en cas de mort pour la France. Après le passage à 70 ans un peu partout, on a gardé rétroactivement la règle des 100 ans afin de ne pas changer les règles du jeu d'un point de vu défavorable pour les quelques cas. Mais à ma connaissance, la clause du doublement à sauter pour les futurs auteurs…

          A noter qu'au Canada c'est 50 ans donc cela fait un paquet de temps que saint-ex est dans le domaine public la bas.

  • # Blague

    Posté par (page perso) . Évalué à 8.

    Je sais pas pour vous, mais ces changements de licenses m'inquiètent un peu.

    Il n'y a qu'OpenSSL qui veut changer sa licence. Le mail de Theo est une blague qui fait référence à ce mail, où OpenSSL contactait les contributeurs en terminant par cette phrase fantastique : « If we do not hear from you, we will assume that you have no objection. ».

  • # Éviter la prolifération de licences différentes

    Posté par (page perso) . Évalué à 1.

    La licence actuelle d'OpenSSL est spécifique au projet OpenSSL, si je comprends bien. De manière générale, c'est déconseillé pour un logiciel libre d'écrire sa propre licence, pcq ça complexifie les problèmes juridiques. C'est mieux de choisir une licence standard, il y a déjà beaucoup de choix.

    Donc je trouve ça bien pour OpenSSL d'essayer de passer à une licence plus standard.

    « Un animal d'une atterrante stupidité : il est persuadé que si vous ne le voyez pas, il ne vous voit pas non plus » (H2G2)

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.