3 pontos por GN⁺ 2024-10-25 | 2 comentários | Compartilhar no WhatsApp
  • O commit db648d7 do sdk-internal da Bitwarden é uma alteração que organiza o texto da licença do SDK e, no HN, foi tratado como um caso de relicenciamento de uma licença proprietária para GPLv3
  • O LICENSE na raiz foi amplamente substituído, com 295 linhas removidas e 20 linhas adicionadas, e os novos LICENSE_GPL.txt e LICENSE_SDK.txt passam a ser o centro da estrutura de licenças
  • O workspace Rust passa a incluir bitwarden_license/* como membro e move o caminho da dependência bitwarden-sm para bitwarden_license/bitwarden-sm
  • No crate bitwarden-sm, a principal mudança é a movimentação de diretório, e vários arquivos em src foram tratados como rename sem alteração de conteúdo
  • O bitwarden-sm/Cargo.toml, em vez de usar valores comuns do workspace, aponta diretamente para ../../LICENSE_SDK.txt, explicitando o arquivo de licença desse crate

O que mudou no commit

  • O título do commit em bitwarden/sdk-internal é “Improve licensing language
  • O título no HN apresenta essa mudança como “Bitwarden SDK é relicenciado de licença proprietária para GPLv3
  • O diff no GitHub inclui tanto a substituição dos arquivos de licença quanto mudanças na configuração do workspace Rust

Reorganização dos arquivos de licença

  • O arquivo LICENSE na raiz aparece com 20 linhas adicionadas e 295 linhas removidas
    • O GitHub não renderiza diffs grandes por padrão, então o conteúdo completo não aparece no corpo
  • Um novo arquivo LICENSE_GPL.txt foi adicionado
    • A alteração é de 674 linhas adicionadas e 0 removidas
  • Um novo arquivo LICENSE_SDK.txt também foi adicionado
    • A alteração é de 295 linhas adicionadas e 0 removidas
  • A lista de arquivos alterados também inclui LICENSE_GPL.txt nas partes de Kotlin e Swift
    • languages/kotlin/sdk/src/main/resources/META-INF/LICENSE_GPL.txt
    • languages/swift/LICENSE_GPL.txt

Mudança de caminhos no workspace Rust

  • Os membros do workspace no Cargo.toml da raiz foram expandidos
    • Antes: members = ["crates/*"]
    • Depois: members = ["crates/*", "bitwarden_license/*"]
  • O caminho de bitwarden-sm nas dependências do workspace também mudou
    • Antes: crates/bitwarden-sm
    • Depois: bitwarden_license/bitwarden-sm
  • Com isso, bitwarden-sm passa a ser referenciado não mais abaixo de crates, mas abaixo de bitwarden_license

Movimentação do bitwarden-sm e definição da licença

  • crates/bitwarden-sm/Cargo.toml foi renomeado para bitwarden_license/bitwarden-sm/Cargo.toml
  • A forma de definir a licença no bitwarden-sm/Cargo.toml mudou
    • Antes: license-file.workspace = true
    • Depois: license-file = "../../LICENSE_SDK.txt"
  • Esse crate define diretamente LICENSE_SDK.txt, em vez de usar a configuração comum de arquivo de licença do workspace

Diff mais próximo de reorganização de caminhos do que de mudança de código

  • Vários arquivos-fonte Rust do bitwarden-sm foram movidos sem alteração de conteúdo
    • client_projects.rs
    • client_secrets.rs
    • lib.rs
    • projects/create.rs
    • projects/delete.rs
  • Na árvore de arquivos, módulos relacionados a projetos e segredos também aparecem como movidos para baixo de bitwarden_license/bitwarden-sm/src
  • Os itens de rename exibidos no corpo têm foco em reorganização de caminhos e mudança da estrutura de licenças, não em alterações de código

2 comentários

 
unsure4000 2024-10-25

Passe livre ++;

 
GN⁺ 2024-10-25
Opiniões do Hacker News
  • Alívio. Talvez a empresa tivesse sobrevivido de algum jeito, mas dificilmente continuaria sendo uma empresa querida pelos desenvolvedores, e o preço disso teria sido alto.
    Espero que a Bitwarden tenha percebido que ser software livre/de código aberto (FOSS) é sua vantagem competitiva e que é graças a isso que ela recebe tanta boa vontade. Para começo de conversa, esse é o motivo pelo qual eu uso um produto que nem é absolutamente o melhor.
    Quando era FOSS, a afirmação ousada de ser “o gerenciador de senhas mais confiável” até tinha alguma justificativa; mas, mesmo deixando o KeePass de lado, se não for FOSS, isso não se sustenta de forma alguma.
    Ainda não tenho certeza de como devo ver essa empresa. Ganhei alguma confiança de que o app continuará sendo software livre, mas minha confiança na empresa em si diminuiu um pouco, e ainda não vi uma comunicação oficial.
    Não vejo como receber US$ 100 milhões em investimento pode ser bom para os usuários no longo prazo. O resultado mais provável parece ser inchaço de funcionalidades ou piora do serviço.
    A Bitwarden não parece fácil de fazer fork. É um sistema complexo em C#, e a existência do Vaultwarden ajuda bastante, mas os aplicativos clientes são outro problema.
    Como proteção contra ações hostis ao usuário, a possibilidade de fork vem logo depois do próprio código aberto. Mesmo assim, espero que dê tudo certo. Comecei a usar Bitwarden recentemente e, até agora, a experiência de usuário tem sido muito melhor que a do KeePass.

    • Estou cautelosamente otimista, mas a direção de longo prazo ainda me preocupa.
    • Não é tão bom quanto a abertura do código nunca ter sido colocada em dúvida desde o início, mas também mostra que, quando os clientes se mobilizam, eles estão dispostos a aceitar feedback e reconsiderar. Também é uma história antiga.
    • Houve comunicação no GitHub e em canais oficiais. Claramente parece que o problema de dependência foi exagerado.
  • Obrigado à Bitwarden por mudar essa parte de volta para uma licença livre/aberta.
    Ainda assim, não recomendo mais Bitwarden para usuários comuns. O gerenciador de senhas integrado do Firefox ficou bom o suficiente.
    Mesmo assim, sempre recomendo Bitwarden para quem precisa de recursos mais avançados ou para quem não confia em gerenciadores de senhas embutidos no navegador. Colocar sincronização no KeePassXC é difícil demais para usuários comuns.

    • Mesmo usuários comuns muitas vezes precisam de um gerenciador de segredos com escopo mais amplo do que uma ferramenta que guarda apenas URL de site e senha.
      Por exemplo, precisam de um lugar para colocar em um cofre criptografado valores secretos que não são de sites, como respostas a perguntas de segurança, aliases de e-mail relacionados ou o PIN do celular do cônjuge.
      O gerenciador de senhas do Firefox é básico demais, com apenas dois campos: “nome de usuário” e “senha”. Para usuários comuns, uma experiência melhor não é guardar alguns segredos no Firefox e o restante em outro app, mas reunir todos os segredos em um único app.
    • Sempre achei que gerenciadores de senhas baseados em navegador oferecem bem pouco valor para a maioria das pessoas.
      São difíceis de usar no celular, dependem da plataforma e é fácil perder dados apenas locais que não foram sincronizados. Usá-los em vários dispositivos também é mais complicado, especialmente em ambientes de trabalho.
      Por outro lado, as pessoas em geral entendem bem o modelo de instalar um app em cada dispositivo e deixar esse app cuidar disso.
    • Acho que, se a Mozilla lançasse um app de senhas separado que permitisse gerenciar e acessar senhas fora do Firefox, ele ficaria mais comparável ao Bitwarden.
      Assim, as senhas deixariam de ser um recurso exclusivo do Firefox e passariam a fazer parte da conta Mozilla. A Bitwarden se destaca nesse ponto e é próxima do modelo que precisa ser vencido.
      A Mozilla teria a vantagem de a integração com o navegador ser praticamente um recurso de primeira classe já embutido, mas, se você não usa exclusivamente o Firefox, é difícil ver um único navegador como o lugar adequado para gerenciar senhas.
      Gosto do fato de a Bitwarden permitir manter o acesso às senhas “bloqueado” mesmo com o navegador aberto. Quando vi isso no Firefox no passado, era preciso digitar a senha mestra ao iniciar mesmo sem precisar de senhas, e só o fato de o desbloqueio do cofre estar atrelado à abertura do navegador já foi motivo suficiente para eu desistir.
    • Fico contente que a Bitwarden tenha resolvido rapidamente. Pelo menos para mim, o gerenciador de senhas do Firefox não é um substituto.
      A Bitwarden é aprovada na empresa, permite auto-hospedagem e oferece suporte a inúmeros logins de apps em navegadores e dispositivos móveis.
      Seja em app móvel, site móvel ou site no navegador, em geral funciona bem. Também é bem útil por permitir armazenar informações arbitrárias como cartões de crédito, notas seguras, respostas a perguntas de segurança com distinção de maiúsculas/minúsculas, recuperação de conta e dados de login.
    • Uso tanto Bitwarden quanto Firefox, mas recomendo fortemente não usar o gerenciador de senhas do Firefox.
      Você sabe que a sincronização de abas entre dispositivos do Firefox está quebrada? Está com defeito desde 24 de agosto e ainda não foi corrigida https://bugzilla.mozilla.org/show_bug.cgi?id=1913795
      Se ele nem consegue sincronizar abas entre dispositivos, fica difícil confiar a sincronização das minhas senhas.
  • É bom ver a Bitwarden corrigindo o rumo aqui. Eu não estava ansioso para migrar para outro gerenciador de senhas, então estou bem satisfeito.

    • Eu também. Sou assinante da Bitwarden, mas, por causa da confusão com a licença, recentemente estava procurando alternativas.
      Trocar de gerenciador de senhas é uma tarefa chata, então fico feliz por não sentir mais que preciso necessariamente migrar.
  • A Bitwarden continua excelente, mas é preciso observar pelos próximos anos. Vale lembrar que a Bitwarden começou originalmente como uma alternativa para evitar os movimentos estranhos da LastPass.

    • Os movimentos estranhos da LastPass vêm de muito tempo e, sinceramente, foram graves.
      Mas não sei por que esse commit do Git foi linkado. Eu preferiria ver a discussão relacionada https://github.com/bitwarden/clients/issues/11611
    • Ainda a vejo como essa alternativa. Para ser sincero, ela até ficou melhor.
      Como evidência, a Bitwarden é o gerenciador de senhas que YouTubers patrocinados não recomendam, mas YouTubers não patrocinados sempre recomendam.
    • O 1Password é software proprietário, mas, pelo que sei, ainda não teve movimentos estranhos. Já senti várias vezes a tentação de migrar para uma solução de código aberto, mas acho que vou ficar aqui por alguns anos.
  • Obrigado à Bitwarden por ouvir. Esse tipo de coisa também dá esperança ao modelo de negócio de código aberto.

  • Links relacionados: https://github.com/bitwarden/clients/issues/11611#issuecomme...
    Discussão anterior: https://news.ycombinator.com/item?id=41893994

    • Obrigado. Eu tinha perdido essa notícia e estava sofrendo para entender o contexto lendo vários comentários
  • Acho que foi tratado de uma forma bastante eficaz e bem no espírito open source. Que bom que foi resolvido sem nenhum truque estranho, e graças a isso vou poder evitar o trabalho chato de migrar do Bitwarden

  • Ainda não está totalmente resolvido. Algumas partes foram relicenciadas, mas outras continuam sob a antiga licença não livre do SDK
    Ex.: https://github.com/bitwarden/sdk-internal/commit/db648d7ea85...

    • As partes que não são GPLv3 parecem ser para um produto separado, o Secrets Manager. Esse produto não parece ser promovido como open source
      O Bitwarden sempre foi open core, não totalmente GPLv3, e isso é compreensível. Afinal, eles precisam ter algo para vender
  • Dá para reconhecer que foi um movimento na direção certa. Durante alguns dias, não estava nada claro o que o Bitwarden faria

    • Se a gente continuar começando sempre pela desconfiança desse jeito, a próxima empresa nem vai tentar
      É uma das poucas empresas que abrem o código do próprio produto como open source. Agora ainda não é hora de ficar desconfiando e dando sermão
  • É uma mudança bem-vinda. Ainda assim, fica a impressão de que eles tentaram ser espertos demais com a licença. Em especial, a forma de combinar código GPL e código sob licença proprietária parece ter sido a causa raiz dessa confusão
    O modelo open core faz mais sentido em serviços hospedados que não distribuem um produto resultante da combinação de GPL com código proprietário. Fazer open core em código de cliente parece deixar margem demais para mal-entendidos e confusão
    Ainda assim, espero que dê tudo certo. É um bom produto