Centro de controle para o Major Trial

 (virtualize.sh)
1 pontos por GN⁺ 2025-05-17 | 1 comentários | Compartilhar no WhatsApp
  • Um caso em que uma entidade semigovernamental que usa uma plataforma open source abusou ativamente de trials infinitos ao longo de 10 anos
  • A entidade criou dezenas de contas para continuar usando o appliance XOA sem pagamento oficial
  • Apesar do suporte oferecido de boa-fé e das orientações, a entidade não parou de contornar o licenciamento
  • Mesmo existindo claramente uma opção gratuita de implantação própria, em vez de seguir o processo adequado, a entidade apenas repetiu o abuso de trials
  • Esse comportamento ameaça a sustentabilidade do open source, e no futuro serão adotadas políticas de restrição mais inteligentes

🚀 Uma história de versão de teste e tentativa e erro

O mundo do open source reúne aspectos belos, complexos, poderosos e às vezes difíceis de entender

# Vates e a realidade da manutenção de open source

  • A Vates já compartilhou anteriormente várias dificuldades envolvidas em manter projetos open source
  • Recentemente, novas camadas de complexidade foram acrescentadas com o aumento de contribuições baseadas em IA e de relatórios falsos de segurança
  • Mas neste texto o foco é um caso mais realista e concreto

🧑‍🚀 O caso peculiar de um trial sem fim

# Contexto

  • Uma empresa ligada a uma entidade semigovernamental tem receita anual de 130 milhões de dólares e constrói e opera equipamentos espaciais de alto custo
  • A empresa opera centenas de servidores físicos e cerca de 4.000 VMs, dependendo da plataforma da Vates para a maior parte da sua infraestrutura de TI
  • Assim como no logotipo em que o XCP-ng é o foguete e o Xen Orchestra é o satélite, esta é uma plataforma essencial para essa empresa

# Como o abuso de trial era feito

  • A entidade deixava claro que não era cliente pagante, mas também não usava a instalação direta do código-fonte open source
  • Em vez disso, solicitava repetidamente o trial de 30 dias (antes 15 dias) do Xen Orchestra Appliance (XOA), uma VM em pacote pronta para instalação fácil
  • Desde abril de 2015, vinha pedindo trials com e-mails corporativos, e aos poucos o número de contas disparou
  • A maior parte da equipe, incluindo desenvolvedores, administradores de sistemas e gerentes, criava trials, mudando do formato ○○@corporate.com para contas pessoais de Outlook e Gmail
  • A organização demonstrou um comportamento sistemático, criando mais de 60 contas, inclusive aumentando os números nos identificadores de e-mail

# Dados públicos

  • O comportamento foi tão ativo e consistente que foi possível até transformar em gráfico o número real de contas vinculadas aos trials
  • Quando surgiam problemas, preenchiam até mesmo o nome real completo, registrando cuidadosamente o nome verdadeiro da empresa

🔍 Orientação sobre as opções

  • Qualquer pessoa pode usar todos os recursos gratuitamente fazendo o build a partir do código-fonte, seguindo a documentação
  • O appliance XOA é um produto comercializado porque oferece um ambiente profissional, com testes e atualizações regulares e manutenção da versão mais recente com um clique
  • O comportamento dessa entidade pode ser visto como uma violação clara do “contrato moral” implícito do open source

🧠 A preocupação real

  • A Vates ofereceu suporte de boa-fé aos usuários e ajudou com sinceridade mesmo no estágio inicial, quando parecia haver intenção de testar e comprar
  • Porém, perguntas repetidas e configurações familiares continuaram aparecendo, e foi possível confirmar registros de mais de 60 contas independentes
  • Depois que o problema foi levantado, a empresa enviou um pedido de desculpas vago, dizendo que mudaria para a versão de código-fonte
  • Até mesmo uma proposta de desconto por volume foi rejeitada imediatamente, e não houve qualquer interesse em suporte profissional
  • Na prática, a migração para a versão de código-fonte também não aconteceu, e o abuso de trial continua com contas pessoais

# Quando a autoinstalação gratuita é possível

  • Trata-se de um ambiente em que a hospedagem própria completa é possível com apenas alguns comandos e uma leitura rápida da documentação

  • O único inconveniente é que a experiência de upgrade é um pouco menos conveniente

  • Mesmo assim, essa empresa escolheu apenas repetir o abuso de trial em vez de usar a opção gratuita de implantação própria

  • Isso, por outro lado, também demonstra que o valor do appliance XOA é reconhecido até certo ponto pelo mercado

💭 Próximos passos

  • Não há plano de desperdiçar tempo perseguindo isso sem fim
  • Mas repetir esse comportamento por mais de 10 anos com contas pessoais, enquanto preenche o nome real da empresa nos dados de cadastro, ultrapassa todos os limites
  • Esse tipo de conduta prejudica a saúde e a sustentabilidade do ecossistema open source
  • No futuro, está sendo considerada a adoção de políticas de restrição mais inteligentes para evitar esse tipo de abuso de trial
  • O objetivo é evitar bloquear usuários legítimos e, ao mesmo tempo, concentrar a energia limitada em suporte a clientes reais e inovação de software
  • Por fim, se a empresa em questão estiver lendo isto, a expectativa é que ainda faça uma escolha razoável e ética

Leituras relacionadas

1 comentários

 
GN⁺ 2025-05-17
Comentários no Hacker News

  • Nesta situação, foi levantada a necessidade de responder de forma agressiva a essas empresas, tomando como referência a abordagem de Larry Ellison: organizar 10 anos de uso ilegal e tentativas, enviar uma carta de C&D (cessação e desistência) e avisar que, se não interromperem o uso ou comprarem uma licença em até 15 dias, será cobrada a licença retroativa de 10 anos, além de juros e multas; em caso de ação judicial, foi mencionada a possibilidade de violação da DMCA (Digital Millennium Copyright Act), enfatizando que essa lei se aplica nos EUA e pode até gerar responsabilidade criminal; recomenda-se refletir seriamente, como CEO, sobre a responsabilidade de recuperar os ativos dos funcionários e acionistas

    • Como se trata de um caso claro de apropriação indevida, foi mencionado que a empresa provavelmente entraria em acordo imediatamente, sem necessidade de ir a tribunal; apontou-se que, na prática, pode haver perdas de milhões de dólares, além de multas; a discussão central acaba se resumindo a quanto pagar à empresa lesada

    • Foi sugerido começar com uma medida direta, enviando uma fatura mensal; elaborar a cobrança com aconselhamento jurídico, reenviá-la repetidamente e pressionar com aviso de cobrança judicial em caso de não pagamento; pode levar tempo, mas foi relatada a experiência de que no fim é possível recuperar os valores

  • Sobre a expressão "tentou economizar trocados e virou performance art", pediu-se que o caso fosse investigado a fundo; com julgamento ou não, ao menos divulgar o nome real da empresa serviria para alertar o mercado; espera-se que isso possa até levar à substituição de gestores imaturos

    • Há dúvidas sobre entrar em contato diretamente com o CEO para relatar a situação, mas existe decepção com a possibilidade de ele já saber e permitir isso; ação legal não está sendo considerada no momento, porém apontar publicamente a conduta errada teria o objetivo de aumentar a conscientização no ecossistema; a divulgação do nome da empresa também segue em espera

    • Parece ser de fato uma violação da licença de avaliação gratuita, e surge a dúvida se estão mesmo se recusando a pagar pelo próprio trabalho alheio

    • Foi apontado que escrever um post no blog para fins de divulgação talvez seja ainda mais eficaz; se a Rocket Company está se aproveitando da comunidade OSS, deveria também considerar retribuir ao OSS

    • Foi levantada a possibilidade de que toda essa história seja, na prática, uma ação publicitária do produto, com uma piada sobre a estratégia de promover a própria solução mencionando até o uso não autorizado

    • Não existem muitas empresas aeroespaciais com receita anual de 130 milhões de dólares e satélites próprios, então foi feita a suposição de uma empresa específica (Planet Labs)

  • Em um emprego anterior, cerca de 100 pessoas compartilhavam uma única conta gratuita por meio de um proxy criado por uma pessoa; mesmo em comparações com concorrentes, o custo nem era mencionado e o uso ilegal continuava; embora tenha sido apontado que era ilegal, não houve reação; o problema não era custo, mas evitar lidar com o processo; a atitude era de ignorar em vez de tentar convencer

    • Foi feito o cálculo de que a Rocket Company pode ter economizado 600 mil dólares por ano usando 30 servidores por mês, totalizando 3 milhões de dólares ao longo de 10 anos; mencionou-se a necessidade de controle do departamento de TI para conseguir receber efetivamente pelo serviço

  • Houve concordância com o humor e com os exemplos da expressão sobre virar performance art por economizar trocados; enfatizou-se que a própria equipe da empresa pode gastar mais em custo de pessoal do que custaria comprar o produto; como cliente, foi expressa preocupação com empresas que usam versões de avaliação gratuitas em tarefas mission-critical; também se acrescentou que esses casos realmente existem

  • A opinião de que o mais decepcionante é isso não ser nem um pouco surpreendente; analisou-se que foi por isso que começaram a exigir cartão de crédito em testes gratuitos, não para cobrar escondido, mas para dificultar o uso fraudulento

    • Foi mencionado que exigir cartão de crédito não produz, na prática, grande efeito, enquanto causa o efeito colateral de incomodar os usuários pagantes; também foi apresentada a realidade de que é fácil contornar isso com cartões virtuais

  • Foi recomendado agir por meio de uma mensagem educada informando que "a versão de teste foi encerrada, então não podemos mais emitir chaves"; se continuarem pedindo novas inscrições às escondidas, considerar bloqueio e, como último recurso, medidas legais; enfatizou-se que o objetivo final é conquistar clientes pagantes, e que a importância está em manter uma postura educada, mas firme

    • Foi recomendada uma automação que, na etapa de cadastro, detecte no backend o nome da empresa e aliases conhecidos e retorne uma mensagem como: "Você não se qualifica para o gratuito, nossa equipe comercial entrará em contato em breve!"

  • Do ponto de vista de um CTO, afirmou-se que esse comportamento é totalmente responsabilidade do CTO da Aerospace Co; no começo, usar o tier gratuito pode ser aceitável, mas quando começa a haver receita, deve-se migrar para o plano pago; lamentou-se que existam profissionais do setor que escolham agir dessa maneira

    • Houve concordância, mas foi levantado que, na prática, a habilidade de usar bem o tier gratuito também é importante; na visão pessoal expressa, o tier gratuito de SaaS serve para reduzir custos iniciais, mas, em escala maior, ele inevitavelmente encontra limites

  • Foi relatada uma experiência em uma startup de consumo com abuso de campanha de indicação: descobriram um usuário que, todos os meses, seguia persistentemente um processo complexo para ganhar um mês grátis; mesmo com pouca diferença em relação ao plano básico, achou-se que esse esforço vinha mais da emoção ou da diversão de vencer o sistema

  • Foi sugerido reverter a situação em estratégia de marketing sem citar nomes reais; seria possível usar agressivamente no site casos de clientes não revelados; informar de forma anonimizada os casos de inadimplência por setor/ano/volume de uso; investigar os casos junto com um concurso de escrita criativa e oferecer licenças pagas; maximizar o efeito promocional com estudos de caso e pesquisas em parceria com escolas de negócios; também foi mencionada a possibilidade de atualizar os termos de uso e, com o tempo, a equipe de vendas tentar converter isso em licenças plurianuais

  • Da perspectiva de um profissional individual, foi levantada a hipótese de que o problema possa vir de processos excessivamente difíceis e complexos para comprar SaaS, como "avaliação de risco de fornecedor", levando a comportamentos informais de evasão para evitar esse caminho

    • Foi compartilhado um caso em que esse tipo de fenômeno realmente acontece porque o processo de compra é excessivamente incômodo