Пособие по успешной истерике

А чего самый жыр убрал?

All the "best practices" like OpenSSF Scorecards are just an attempt by big tech companies to guilt trip OSS maintainers and make them work for free. My one-man company recently tried to become a OpenSSF member. You have to become a Linux Foundation member first which costs at least $10,000/year. These organizations are very exclusive clubs and anything but open.

Чела так-то можно понять.

Тихо и мирно разрабатывал себе либку, никого не трогал. Получилось хорошо, либкой начали пользоваться многие люди, крупные вендоры даже включили её в свои продукты.

Со временем обнаружилась уязвимость (не факт что её сам чел оставил) и крупные вендоры начали давить и наседать. Причём эти «фантастические твари и где они обитают» могут и армии своих юристов подтянуть, если им что-то не понравится, например, медленное реагирование разработчика. В долги загнать, жизнь изрядно подпортить.

Нафига энтузиасту-разработчику без амбиций вида "мой проект будет в любой OS и в любом браузере) подобные приколы? Человек не нанимался работать к корпоратам и ему за своевременные фиксы деньги скорее всего не платят.

А самое забавное подобная ситуация уже давно была проиллюстрирована ироничными художниками:

https://xkcd.com/2347/

Причём эти «фантастические твари и где они обитают» могут и армии своих юристов подтянуть, если им что-то не понравится, например, медленное реагирование разработчика. В долги загнать, жизнь изрядно подпортить.

Открываем репо проекта на гитхабе и во вкладке License наблюдаем:

THE SOFTWARE IS PROVIDED «AS IS», WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FIT- NESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.

Молодец, так их!

Законы не работают на тех кто их пишет. А на лицензии давно всем плевать. Понятное дело если лицензия не подкреплена властью капитала.

По словам Ника, библиотека libxml2 не обладает уровнем качества, пригодным для использования в браузерах и операционных системах.

А мог просто as-is-ом им по губам поводить. И пересадить всех коммерческих халявщиков на коммерческие же планы приоритетной поддержки ;)

Гражданину марксисту приводят текст лицензии MIT, гражданин марксист в ответ приводит пример нарушения лицензии GPL, причем репо winamp’а на фоне это скандала уже снесли: https://github.com/WinampDesktop

Как узнать что гражданин марксист врет? Он открыл рот.

И так каждый раз.

ВРЁТИ

При этом на сайте продолжают распространяться старые сборки Winamp, датированные 26 апреля 2023 года, которые, судя по всему, продолжают использовать компоненты GPL.

Там тик-ток у законных владельцев забирают, а уж левого чувака размажут, сколькими бы он лицензиями не прикрывался.

И пересадить всех коммерческих халявщиков на коммерческие же планы приоритетной поддержки ;)

Я помню близард послала человечка, к чувачку открывшему носталриус. А тот сделал ему предложение от которого он не смог отказаться.

Там тик-ток у законных владельцев забирают

И негров линчуют, а в огороде бузина, а в Киеве дядька.

Я помню близард послала человечка, к чувачку открывшему носталриус.

Ты тенденциозно путаешь поляну, созданную для прямой конкуренции с близзард методом клонирования их собственной поляны, которая хуцпа как раз лечится методом cease-and-desist, и неотъемлемое право автора не кормить халявщиков.

лечится методом

Да видели мы все эти методы в рекламе кувалд и ножей кизляра. Только с законностью это вообще никак не вяжется.

Эти твои виляния мы видим в прямом эфире ИТТ.

Была бы под GPL такого бы не было.

ну, в общем-то разработчик прав. послал корпов в пешее эротическон путешествие. а то обложили со всех сторон и не дают жить.

Правильно сделал, так их

Мораль: нефиг вообще выкладывать свой код в опен-сорц.

Добрые дела наказуемы.

А что там сложного в libxml2, что аж уязвимости для крупных компаний и недоступные для исправлений

Значит надо форкать корпам, а не просить этого энтузиаста. И быстро память о капризах пройдёт

А что там сложного

Сложно деньги тратить, когда есть сладкий лох на которого можно надавить значимостью компании и продукта и который быстро побежит все исправлять.

И форкнуть гугл не может? Там же миллионы лишних людей, тем более в андроиде активно применяется. Что-то явно однобокое в теме

И форкнуть гугл не может?

Нет, надо понимать как работает бизнес, всякие хромые лошади, разливы нефтепродуктов в сибири и черном море - одно и тоже. Издержки производства в том числе расходы на зряплату - сокращаются любой ценой.

По словам Ника, библиотека libxml2 не обладает уровнем качества, пригодным для использования в браузерах и операционных системах.

Говнокодер не хочет исправлять свой говнокод и устроил драму?

Издержки производства в том числе расходы на зряплату - сокращаются любой ценой.

Это вы про раздутую корпорацию с почти 200к сотрудников и сотнями закрытых попильных проектов сейчас? Кажется за вас сейчас идеология разговаривает.

Это вы про раздутую корпорацию с почти 200к сотрудников и сотнями закрытых попильных проектов сейчас?

А как одно мешает другому? Можно подумать у того кто нефть в Сибире пролил не такая же раздутая корпорация. То же самое с нефтью в черном море получилось. Речными танкерам пошли в море.

Кажется за вас сейчас идеология разговаривает.

Ага, а эффективному собственнику клятые совки в штаны лайна наложили, вот ёмкость и не выдержала. А у других эффективных собственников виноват оказался стрелочник который повёл речной танкер в море по своей инициативе.

Вообще-то автор прямо так и пишет. Он пилит либу просто ради развлечения, ему совершенно не хочется всерьез заниматься безопасностью. Если крупным корпорациям нужна эта либа, но с регулярными патчами безопасности, тестированием и прочим – ради бога, пусть нанимают разрабов и делают форк, лицензия позволяет, и автор тоже не против.

А как одно мешает другому?

Дак это просто бессмысленная экономия на спичках получается. Это как если бы крупный завод с токарями и прочим жаловался, что в китае шестеренку правильную закупить все никак не могут.

Можно подумать у того кто нефть в Сибире пролил не такая же раздутая корпорация. То же самое с нефтью в черном море получилось. Речными танкерам пошли в море.

А о чем речь? Я должен все это откуда-то знать? Загуглил про танкеры, формально это суда смешанного плавания, направляйте претензии в советский госплан.

Дак это просто бессмысленная экономия на спичках получается.

Любой наёмный менеджер понимает, что рано или поздно он покинет здание. А вот за экономические показатели платится премия.

Я должен все это откуда-то знать?

А ты и про дядю Женю ничего не знаешь? Я прям тебе завидую.

Вообще это нездоровая ситуация, да. Чел забесплатно в одиночку пилит продукт для себя, и чтобы его в буквальном смысле не пустили по миру за то, что он несвоевременно фиксит баги безопасности, он вынужден «устраивать истерики» – четко выражать позицию, что его продукт небезопасен, а если используете и вас сломали – ССЗБ, вы были предупреждены.

Но вынужден заметить, что ему следовало сделать это раньше, в идеале в самом начале, тогда было бы меньше проблем. Кроме того, к сожалению, как я слышал, в ряде юрисдикций даже это не защищает. Типа даже если выложить код под СПО лицензией, а в соглашении четко прописать, что это ранняя альфа, баги и уязвимости точно есть, непригодно для промышленного и критического применения, выдается как есть и без любых гарантий и т.п. – все равно можно быть осужденным за проблемы, вызванные его использованием.

да, при этом в любом копрорастическом софте так же точно написано, что они ни за что ответственности не несут и никому ничего не должны в случае любых факапов. да, я из тех занудных юзеров, которые читают все пользовательские соглашения, причём до конца. а какой-то разработчик опенсорца ай-ай-ай какой плохиш, сыграл в такую же игру с копрорастами и они сразу полняли хай: надо же, какой наглый, не правит баги по нашим требованиям! а в их собственных багтрекерах просто некуда клейма поставить. и ничего, ведь «это другое»(TM)!

на эту тему есть известная картинка-мем: https://www.explainxkcd.com/wiki/index.php/2347:_Dependency

и на самом деле, в опенсорце полно таких маленьких библиотечек, которые копрорасты давно заюзали в своих монстрозных проектах, не платя разработчикам нишиша, конечно же. и весь их софт без них просто не собрать. и за нишиша оплаты нишиша сервиса - это вполне честный бартер, по-моему.

на самом деле корпорация может хоть 3 десятка человек выделить и все пофиксить в этом одночеловечном проекте, попутно предложив идеальные патчи/пул-реквесты/етц, которые можно будет вмержить в 1 клик.

но мугудель с большим ЧСВ (aka пишуший весь сишный код без багов) конечно этого же делать не будет, потому что корпорация обязательно ко всему исправленному коду добавит свои копирайты.

поэтому корпорация поступает правильно, что не чинит самостоятельно и не тратит время и ресурсы впустую на то, на что все равно не будет принято ни при каких условиях.

собственно это одна из причин почему проект делается лишь одним человеком, потому что никого других попусту не подпускает. т.е. проблема именно с человеком, а не с кодом и его качеством, разве не ясно?

не платя разработчикам нишиша, конечно же

корпорация только сотрудникам платит и по контрактам. даже с точки зрения бюрократии это не должно работать. такого мудака не возьмут на работу просто. и уж тем более на баланс корпорации.

платить за этого никто никогда не будет, потому что это создает положительную обратную связь - сначала делаешь говно, а получаешь деньги на его доделку. угадай что будет происходить?

если пятизвездочники совсем потеряли связь с реальностью, то просто представь, что твой сосед хранит у себя на балконе всякий хлам под завязку и занимается разведением тараканов в свободное время. и ничего, ни ты, ни другие сделать не могут (разве что кроме совсем в крайних случаях, до которых нужно долго и закономерно годами доходить). а внешний вид дома это очень сильно портит и все остальные страдают. потому что это «его собственность» лол. даже если заплатишь ему за уборку хлама и выведение тараканов, через какое-то время новый хлам обязательно вернется.

это проблема именно мугуделей-обиженок с большим ЧСВ, которые «не создают багов*» (а когда их проект набирает хоть какую-то пользовательскую базу чуть больше чем сотню человек, то баги обязательно находятся и они уходят в глубокое отрицание), а не в коде или в чем-то еще.

написать говнокод умеренного качества может любой, вот только не факт что с этим любым автором потом продуктивно и качественно сотрудничать многие годы дальше.

на самом деле корпорация может хоть 3 десятка человек выделить и все пофиксить

А чё не выделит и не пофиксит, не форкнет?! А разгадка на самом деле проста: проще потребителей кормить говном, чем тратить время и деньги.

причём тут вообще ЧСВ? это проект этого человека и если он этого не хочет, никто не может в него лезть. тем более с левыми копирайтами. делать форки - пожалуйста, это опенсорц. но править оригинал и принимать патчи в апстрим может только автор и владелец репозитория. как он решит - так и будет. никакой сложной для понимания логики тут нет.

люди пишут опенсорц добровольно, исходя из своих личных соображений. никто не может их принудить что-то делать или не делать в своих проектах.

Ты пишешь исходя из ситуации, что автор чудак, не желает слушать критику, ему не стоит платить, так как он тогда вообще оборзеет и начнет плодить ещё больше говнокода.

Вопрос – если же все дела и правда таковы, кто мешает сделать форк?

Второй вопрос – а с чего автор обязан что-то делать хорошо? Если б ему платили, другой вопрос. Но тут просто ради интереса пишет для себя. И честно говорит, что не стоит ждать качества – нужно было только с самого начала так сделать.

Это ты судье будешь рассказывать следующие 99 лет, пока наши юристы будут подавать апелляции. Надеюсь, у тебя хватит денег для оплаты всех судебных расходов на эти 99 лет.

В википедии даже статья есть: Strategic lawsuit against public participation

Драму устроили белки-истерички, с их мнимыми CVE. Говнокодер картошку окучивает. Как винца тяпнет с шашлычками, так может и пофиксит что-нибудь. Или не пофиксит. Как настроение будет. О чём он и извещает окружающий его мир.

Статья про другое. Есть хоть один пример, когда судили автора свободной программы за медленное исправление багов?

Я не слышал, но мало ли.

люди пишут опенсорц добровольно, исходя из своих личных соображений. никто не может их принудить что-то делать или не делать в своих проектах.

И этот досадный факт нужно чинить в законодательно-принудительном порядке, а то красноглазые ботаны слишком избаловались, абстрагировавшись от реального мира.

Если кто-то поставит на улице рукожопую карусель, и твоему ребенку сломает в ней руку - тебя сильно остановит от скандала кукареканья «AS IS», «не нравится не используйте», «хотите форкайте конструкцию» и прочие отмазки того, кто эту карусель поставил на улице?

С вероятностью 98% против 2% твой аргумент будет «as is может быть только у вас на частной территории».

- - -

Если чувак разместил что-то в общем доступе - здесь уже не может быть никаких отказов от ответственности, он обязан сопровождать свой продукт и нести за свой продукт полную ответственность вплоть до уголовной, если использование его продукта нанесет ущерб собственности или здоровью. То что пока не несет - это не его заслуга, а недоработка законодателя.

Ну а дальше всё так как говорят попенсорсники: не нравятся правила общества - репку закрыл, и всего делов.

Если чувак разместил что-то в общем доступе - здесь уже не может быть никаких отказов от ответственности, он обязан сопровождать свой продукт и нести за свой продукт полную ответственность вплоть до уголовной, если использование его продукта нанесет ущерб собственности или здоровью.

С коммерческого софта начни. Там точно такой же отказ от ответственности.

В твоём примере с каруселью за увечья ребенка в первую очередь несут родители. Но да, когда они недосмотрят за мелким, они начинают кукарекать про опасные карусели и грозить судом производителю, установщику и дворнику, который рядом стоял.

PS Выложишь свое DE в попенсорц – я тебя по судам затаскаю.

С коммерческого софта начни. Там точно такой же отказ от ответственности.

Именно. И покупка коммерческого софта должна быть с чеком, гарантийными обязательствами, и тд - как и на любой товар за который покупатели платят деньги.

В твоём примере с каруселью за увечья ребенка в первую очередь несут родители.

Глупости. За нанесение ущерба всегда несет ответственность сторона, нанесшая ущерб по причинно-следственной связи, и суд всегда рассматривает эту причинно-следственную связь. Вот например у меня близкий родственник разбился на мотоцикле, он ехал по левой полосе, а пьяная женщина за рулем внедорожника поворачивала с правой и его не пропустила. Судья ее оправдал. Потому что уголовное дело рассматривалось по факту смерти, а причиной смертельных травм стало его превышение скорости, а не ее выезд на полосу. Такие дела.

Но если тебе будет легче, руку на карусели поломал я.

PS Выложишь свое DE в попенсорц – я тебя по судам затаскаю.

А ты думаешь почему не выкладываю в публичный доступ. Не готов сопровождать.

Судья ее оправдал. Потому что

у пьяной мадам с внедорожником было достаточно денег.

у пьяной мадам с внедорожником было достаточно денег.

Ты что на суде никогда не был?

Не знаю вашего конкретноо случая но как водитель с стажем столько не живут могу сказать что мотоциклисты в РФ по большей части - конченные контрацептивы.

И обычно история ехал по левой а баба на джипе поворачивала с правой в реальности оказываются поворачивала тетка налево с левой плосы а в это время аккурат по разделительной низехонько на скорости 250 кмч куда-то спешил хруст, который привык считать что все эти 50 самнтиметров между полосами это есть выделенная полоса для него. А ограничения скорости все имеют под собой зачернктый мотоциклик и жать надо на столько сколко можно выдавить. Так что не разобравшись в деле а выслушав сторону лично заинтересованную обвинять судью в коррупции а тетку во взяткодатии - явно преждевременно.

и P.S. - да нормальные байкеры есть, но они как правило ездят на чем-то большом рогатом низкооборотистом и честно стоят в своей плосе а не лезут в любую дыру отбивая зеркала. Но их мало.

Это я написал к тому, что при выяснении обстоятельств, а суд это именно эталонные разборки - выводы делаются по четкой причинно-следственной связи между обсуждаемым событием, и точкой которая к нему привела.

За увечья ребенка на некачественной карусели, в маршрутке с отвалившимся колесом, открытой клетке со львом - несет ответственность в первую очередь объект нанесший травму, во вторую очередь владелец этого объекта. А дальше уже смягчающие обстоятельства: если владелец обустроил свои объекты по стандартам, приложил максимум усилий для безопасности и увечья - это следствие несчастного случая - тогда его оправдывают, хотя и вешают на него издержки. А если владелец маршрутки проходил техосмотр пять лет назад, строитель карусели не округлил борта согласно какому-нибудь бородатому ГОСТу, а программист не принял поправки для устранения уязвимости или не написал об этом большими красными буквами - это самая что ни на есть ответственность.

Впрочем если ущерб минимальный и не повлекший травмы\смерти, наказание может быть сугубо номинальным.

Отказался погромист принимать коммиты для устранения CVE? Месяц бана на гитхабе.

Отказался погромист принимать коммиты для устранения CVE? Месяц бана на гитхабе.

Ну я бы доавил - подать претензию могут только те кто задонатили сумму сравнимую с оплатой труда программиста по фиксу CVE.

А халявщики иду стройными рядами на МПХ. И подмахивают. Особенно богатые халявщики.

Ну я бы доавил - подать претензию могут только те кто задонатили сумму сравнимую с оплатой труда программиста по фиксу CVE.

Ну этот вопрос стоит вынести на общественные слушания.

Ну этот вопрос стоит вынести на общественные слушания.

Ну тут вопрос кто у нас является судией.

Если демос ( то есть рабовладельцы) - то понятно что программист (раб) всем должен. Если охлос (то есть типа весь народ - все в равной мере а не только «элитка») - то решат противопожно по другому.

P.S. поклонникам демократии - да, мы в ней живем. Демос - то бишь олигархи-рабовладельцы - обладают властью.