HashiCorp muda licença das soluções

HashiCorp muda licença das soluções

Você usa hashicorp vault ou terraform?

Teve uma mudancinha ai na licença dessa galerinha que é bom ce ficar de olho…

Veja também em vídeo:


Olá champs beleza? Eu sou o Ben-Hur e este é o guia de appsec onde compartilhamos conhecimento sobre desenvolvimento seguro, appsec, devsecops e afins.

O que aconteceu

Quando falamos de gerenciamento de segredos, certamente Hashicorp Vault vem à mente.

O mesmo se passa quando falamos de IaC com Terraform.

Bem, ambas são da mesma empresa e tivemos um pronunciamento da Hashicorp no dia 10 de Agosto de 2023 que as soluções que hoje são gratuitas e abertas para a comunidade vão passar por uma alteração no seu modelo de licença.

Vamos entender o que aconteceu e como isso te impacta.

Mudanças

O código fonte passa a adotar, em vez da MPL 2.0 (Mozilla Public License v2.0), a Business Source License (BSL ou BUSL) v1.1.

Esta alteração vai ser aplicada em todos os releases futuros.

As APIs, SDKs e quase todas as otras libs vão continuar com MPL 2.0.

O Produto Vault vai para BSL, já a SDK de acesso para o produto fica em MPL.

Como isso impacta

É agora que a coisa ficou desconfortável, por dois motivos: a alteração agressiva da licença e pouca clareza sobre os termos de uso da tecnologia.

A licença BSL 1.1 (nova) permite a copia, modificação, redistribuição, uso não comercial, e uso comercial sobre condições específicas.

Eles afirmam que outras empresas já fizeram isso, como o MonboDB por exemplo (que por sinal deu o maior rolo na epoca).

Mas agora o que seria esta “sobre condições específicas”?

A primeira que fica 50% clara é: usuários finais podem continuar copiando, modificando e redistribuindo o código para uso não comercial e comercial, exceto quando provendo serviços que podem competir com a HashiCorp.

Usando o exemplo do MongoDB, o que aconteceu na época: uma pessoa usava o mongodb free pra criar um serviço de provisão de bancos de dados e cobrava por isso.

Neste caso, eu ganharia dinheiro apenas "alugando” a tecnologia já disponibilizada por outra empresa.

Sendo que esta empresa (a do Mongo) já tinha um serviço igual (o Atlas).

Só que tem dois pontos muito maldosos aqui…

O primeiro é o: O que é um serviço que pode competir com a HashiCorp?

Um exemplo disso foi o que a Infiscal mencionou no artigo dela (que vai estar nas referências aqui em baixo):

Seria um profissional freelancer que auxilia na implementação e manutenção de vault um competidor? Uma vez que a Hashi também oferta este serviço.

Esta cláusula ta muito aberta, cheia de margem de interpretação e pode ser expandida. O que não é um serviço concorrente hoje pode ser amanhã. As empresas aumentam seu portifólio de produtos.

O segundo está na própria licença:

Que se você não respeitar os termos, você deverá comprar uma licença ou pagar a multa. Mas quanto vai ser esta licença e esta multa?

E neste momento acaba sendo também abstrato os impactos.

"Mas e se eu não puder remover a solução porque já tenho muita coisa construída?”

Se o seu produto não compete com a Hashi, tudo bem, em tese não deveria passar nada. Mas se não está claro para você ou de fato compete, você pode não atualizar mais (e assumir todos os riscos disso, como bugs, vulnerabilidades, etc) ou entrar em contato com a empresa expondo seu caso e exigindo uma resposta.

Afinal, esta licença apenas vai ser aplicada para versões futuras.

Minha opinião

Com relação ao produto

As empresas hoje não vivem só com uma solução de vault, elas possuem contratos com clouds como AWS, Azure ou GCP. Estas clouds tem serviços com finalidades semelhantes, como o Azure Key Vault e muitas vezes já estão embarcados no contrato inclusive.

"Ah mas daí não seria um competidor neste caso”

Concordo que HOJE não, mas as cláusulas são pouco conclusivas.

Outras opções acabam por ganhar espaço também, como o Pulumi para IaC. O que acaba sendo bom para a comunidade.

Com relação ao open source

Eu acho uma p*t# sacanagem fazer este tipo de movimento.

Quando você lança algo open source. É… OPEN… SOURCE.

O objetivo desta contribuição é você dividir uma parte do seu ecossistema para que todos possam construir soluções que melhorem a vida das pessoas. Da mesma forma como nós consumimos libs e não pagamos nada por isso.

"Ai mas se tão ganhando dinheiro com o meu código eu deveria ganhar também!”

E você vai pagar todos os pull requests que fizeram pra essa tua lib também? Ou pra estes contribuidores vai ficar só um "muito obrigado”?

E estas melhorias que foram geradas das contribuições? Estes autores vão ser considerados "sócios” da lib e vão receber % de dividendos deste lucro?

Lançar algo muito bom, open-source e depois que todo mundo se torna dependente você mudar a licença é no mínimo questionável.

Lembrando que se você fizer fork de uma versão com a licença BSL, a licença não muda, ela tem que herdar.

Bem, esta é minha humilde opinição =).

Só acredito que agora todo SCA vai começar a apitar ai no CI que tem lib com licença de risco hahahahahahhhaa.

Um abraço para vocês e bom final de semana!

Referências

https://www.hashicorp.com/blog/hashicorp-adopts-business-source-license

https://www.hashicorp.com/bsl

https://infisical.com/blog/hashicorp-new-bsl-license

https://www.pulumi.com/