12 pontos por hyungyunlim 2026-05-19 | 2 comentários | Compartilhar no WhatsApp

Quando o Obsidian passou a divulgar avaliações de segurança, qualidade e manutenção de plugins em seu novo site da comunidade, Zsolt (zsviczian), desenvolvedor do Excalidraw — o plugin mais baixado, com 6,1 milhões de downloads acumulados (cerca de 5% do total) — publicou um vídeo de 27 minutos explicando sua posição do ponto de vista de desenvolvedor. O CEO do Obsidian, Steph Ango (kepano), também respondeu imediatamente no Reddit com um longo comentário, e a discussão continuou.

O que aconteceu

  • O Obsidian tem cerca de 4.000 plugins e 120 milhões de downloads acumulados. Com o surgimento desenfreado de sites externos de análise de terceiros destacando problemas de segurança, uma resposta oficial se tornou inevitável
  • O novo site da comunidade divulga scorecards automatizados de qualidade (quality), manutenção (maintenance) e segurança/qualidade de código (security)
  • A revisão automática é baseada no obsidianmd/eslint-plugin, que já vinha sendo divulgado desde o ano passado, e desde junho de 2025 vinha sendo discutida com desenvolvedores em um canal do Discord
  • O Excalidraw tinha uma pontuação inicial de cerca de 38~40% → marcado como "high risk". Zsolt descreveu isso como "a sensação de que a obra da minha vida foi manchada"

As alegações de Zsolt

  • A diferença entre a "pontuação do scanner vs. a realidade" — cerca de 100 links externos foram classificados como risco, mas na prática eram apenas opt-in de OCR/IA, vídeos de ajuda, links para a loja de scripts etc., sem qualquer intenção maliciosa
  • As limitações da API do Obsidian tornam código de contorno inevitável — API do Electron para impressão em PDF, exportação SVG do MathJax, ausência de distribuição de fontes/múltiplos assets → implementações de contorno acabam sendo marcadas imediatamente como "high risk"
  • Exigir padrões comerciais de desenvolvedores hobbyistas — é um projeto de “0,1 pessoa”, não em tempo integral, mas de repente passou a receber expectativa de qualidade em nível enterprise
  • Ausência de um framework para plugins pagos — entre 110.000 usuários regulares, há cerca de 100 apoiadores (0,09%). Fora o Ko-fi, não há caminho real de monetização
  • Preocupação com retrocesso para closed source — surge um incentivo para tornar o código privado a fim de evitar a varredura
  • Qual é o verdadeiro critério de confiança? — "Mais importante que a revisão de segurança são a longevidade do plugin, o nível de suporte e a conexão com o desenvolvedor"
  • Ele próprio trabalhou por 4 dias e elevou a pontuação para 78%

Resposta de Steph Ango (kepano) — 292 likes no Reddit

  • Um mês antes do lançamento, o novo site, dashboard e aviso já haviam sido compartilhados com os testadores alfa (incluindo Zsolt), e centenas de pontos foram incorporados com base no feedback dos desenvolvedores. No entanto, Zsolt não respondeu durante esse período
  • Plugins populares já existentes (incluindo Excalidraw) foram tratados com "grandfathered", recebendo regras mais brandas que plugins novos
  • Novos plugins closed source não serão aprovados por enquanto, mas os já existentes permanecerão
  • Foram criadas política, rótulos e filtros para plugins pagos, mas, por causa das políticas de iOS/Android, não é possível impor compras dentro do app
  • O próprio Obsidian também tem apenas cerca de 1% de usuários pagantes do Sync/Publish — um problema estrutural em que a Big Tech consolidou a percepção de que software deve ser gratuito"
  • Ele também já foi desenvolvedor de temas/plugins populares no passado, então diz entender "a dor de ver a plataforma sob seus pés mudar"

Reação da comunidade

  • "Numa era em que ataques à cadeia de suprimentos são rotina, jogar a responsabilidade para o usuário é um tanto ingênuo" (mesarthim_2, 112 likes)
  • "Uma medição objetiva foi interpretada como ataque pessoal. Se você não gosta da pontuação, o certo é corrigir a pontuação" (DeliriumTrigger)
  • "A própria comunidade open source ajudou a reforçar a ideia de que ‘de graça é o normal’. Não há nada de vergonhoso em ficar rico com um bom software" (mesarthim_2)
  • "Assinaturas cansam. Uma licença única + pacote de Sync self-hosted me atrai mais" (rg_software)
  • "Como a IA reduziu a barreira de entrada para desenvolver plugins, auditoria de segurança é essencial" (Legal_1425)

Por que isso importa

  • A estrutura assimétrica de "1 milhão de usuários × 4.000 plugins × equipe central de 7 pessoas" — o caso do Obsidian mostra claramente o dilema de governança de qualquer ecossistema aberto operado por equipes pequenas (VSCode, Raycast, Logseq etc.)
  • Uma tentativa de aumentar a transparência de segurança pode, paradoxalmente, levar a burnout de desenvolvedores hobbyistas → retorno ao closed source → fechamento do ecossistema
  • A pergunta central acaba sendo: "Não existe almoço grátis. Quem vai pagar a conta?"

Texto original

2 comentários

 
preserde 2026-05-19

Isso já é meio demais... Sinceramente, no fim das contas ele está dizendo que ficou irritado porque um plugin superpopular feito por um desenvolvedor sênior como eu não recebeu pontuação. Está basicamente dizendo para darem uma nota boa, ou então revogarem as medidas de segurança (inclusive sendo grandfathered)... numa época como a de hoje, de IA em todo lugar e ataques à cadeia de suprimentos...?

 
hyungyunlim 2026-05-19

Isso mesmo. Pelo que vi, esse tipo de crítica também aparece no post original do Reddit. Não parece que tenha havido uma grande discussão entre o desenvolvedor do plugin e o CEO da Obsidian; parece mais que houve um certo mal-entendido(?) e uma situação desse tipo. Acho que o desenvolvedor do plugin talvez tenha ficado um pouco magoado, já que dedicou muito tempo e esforço ao desenvolvimento... haha