Bitwarden SDK von proprietärer Lizenz auf GPLv3 umlizenziert
(github.com/bitwarden)- Der Commit
db648d7in Bitwardensdk-internalist eine Änderung zur Bereinigung der Formulierungen rund um die SDK-Lizenz; auf HN wurde er als Fall einer Umlizenzierung von proprietärer Lizenz auf GPLv3 behandelt - Die Root-
LICENSEwurde mit 295 gelöschten und 20 hinzugefügten Zeilen weitgehend ersetzt, und die neu hinzugefügten DateienLICENSE_GPL.txtundLICENSE_SDK.txtbilden nun den Kern der Lizenzstruktur - Der Rust-Workspace nimmt
bitwarden_license/*als Mitglieder auf und verschiebt den Abhängigkeitspfad vonbitwarden-smnachbitwarden_license/bitwarden-sm - Beim Crate
bitwarden-smist die Verzeichnisverschiebung die wesentliche Änderung; mehreresrc-Dateien wurden ohne inhaltliche Änderungen umbenannt bitwarden-sm/Cargo.tomlverweist nicht mehr auf gemeinsame Workspace-Werte, sondern direkt auf../../LICENSE_SDK.txtund legt damit die Lizenzdatei dieses Crates explizit fest
Was sich im Commit geändert hat
- Der Commit-Titel von
bitwarden/sdk-internallautet „Improve licensing language“ - Der HN-Titel stellt diese Änderung als „Bitwarden SDK von proprietärer Lizenz auf GPLv3 umlizenziert“ vor
- Im GitHub-Diff sind sowohl der Austausch von Lizenzdateien als auch Änderungen an der Rust-Workspace-Struktur enthalten
Neuaufbau der Lizenzdateien
- Die Root-Datei
LICENSEist mit 20 hinzugefügten und 295 gelöschten Zeilen markiert- GitHub rendert große Diffs standardmäßig nicht vollständig, daher wird der komplette Inhalt im Hauptteil nicht angezeigt
- Die neue Datei
LICENSE_GPL.txtwurde hinzugefügt- Der Änderungsumfang beträgt 674 hinzugefügte, 0 gelöschte Zeilen
- Auch die neue Datei
LICENSE_SDK.txtwurde hinzugefügt- Der Änderungsumfang beträgt 295 hinzugefügte, 0 gelöschte Zeilen
- In der Liste der geänderten Ziele sind auch
LICENSE_GPL.txtauf Kotlin- und Swift-Seite enthaltenlanguages/kotlin/sdk/src/main/resources/META-INF/LICENSE_GPL.txtlanguages/swift/LICENSE_GPL.txt
Änderung der Rust-Workspace-Pfade
- Die Workspace-Mitglieder in der Root-
Cargo.tomlwurden erweitert- Bisher:
members = ["crates/*"] - Neu:
members = ["crates/*", "bitwarden_license/*"]
- Bisher:
- Auch der Pfad der Workspace-Abhängigkeit
bitwarden-smwurde geändert- Bisher:
crates/bitwarden-sm - Neu:
bitwarden_license/bitwarden-sm
- Bisher:
- Damit wird
bitwarden-smnicht mehr untercrates, sondern unterbitwarden_licensereferenziert
Verschiebung von bitwarden-sm und Lizenzzuweisung
crates/bitwarden-sm/Cargo.tomlwurde inbitwarden_license/bitwarden-sm/Cargo.tomlumbenannt- Die Art der Lizenzangabe in
bitwarden-sm/Cargo.tomlwurde geändert- Bisher:
license-file.workspace = true - Neu:
license-file = "../../LICENSE_SDK.txt"
- Bisher:
- Das betreffende Crate verwendet damit nicht mehr die gemeinsame Konfiguration der Workspace-Lizenzdatei, sondern verweist direkt auf
LICENSE_SDK.txt
Diff näher an Pfadumstrukturierung als an Codeänderungen
- Mehrere Rust-Quelldateien von
bitwarden-smwurden ohne inhaltliche Änderungen verschobenclient_projects.rsclient_secrets.rslib.rsprojects/create.rsprojects/delete.rs
- Im Dateibaum werden auch projekt- und secret-bezogene Module als nach
bitwarden_license/bitwarden-sm/srcverschobene Ziele angezeigt - Die im Hauptteil gezeigten Rename-Einträge konzentrieren sich nicht auf Codeänderungen, sondern auf Pfadumstrukturierung und Änderungen an der Lizenzstruktur
2 Kommentare
Freifahrtschein ++;
Meinungen auf Hacker News
Erleichterung. Das Unternehmen hätte vielleicht irgendwie überlebt, aber es wäre kaum noch eine Firma geblieben, die Entwickler mögen, und der Preis dafür wäre hoch gewesen.
Ich hoffe, Bitwarden hat erkannt, dass der Status als freie/Open-Source-Software (FOSS) ihr Wettbewerbsvorteil ist und ihnen viel Wohlwollen einbringt. Genau deshalb nutze ich überhaupt ein Produkt, das nicht in jeder Hinsicht das allerbeste ist.
Solange es FOSS war, ließ sich die kühne Behauptung „der vertrauenswürdigste Passwortmanager“ bis zu einem gewissen Grad rechtfertigen; ohne FOSS gilt das, selbst wenn man KeePass außen vor lässt, überhaupt nicht.
Ich bin mir immer noch nicht sicher, wie ich dieses Unternehmen einschätzen soll. Ich habe nun etwas Vertrauen, dass die App freie Software bleiben wird, aber mein Vertrauen in das Unternehmen selbst hat etwas gelitten, und ich habe noch keine offizielle Kommunikation gesehen.
Ich sehe nicht, wie eine Investition von 100 Millionen US-Dollar langfristig gut für die Nutzer sein soll. Das wahrscheinlichste Ergebnis scheint Funktionsaufblähung oder eine Verschlechterung des Dienstes zu sein.
Bitwarden wirkt nicht leicht zu forken. Es ist ein komplexes System in C#, und die Existenz von Vaultwarden hilft zwar sehr, aber die Client-Apps sind noch einmal ein anderes Thema.
Als Schutzmechanismus gegen nutzerfeindliches Verhalten ist nach Open Source selbst die Forkbarkeit am wichtigsten. Trotzdem hoffe ich, dass es gut ausgeht. Ich habe vor Kurzem angefangen, Bitwarden zu nutzen, und die User Experience war bisher deutlich besser als bei KeePass.
Danke an Bitwarden, dass sie diesen Teil wieder auf eine freie/offene Lizenz umgestellt haben.
Allerdings empfehle ich Bitwarden normalen Nutzern nicht mehr, weil der integrierte Passwortmanager von Firefox inzwischen gut genug geworden ist.
Trotzdem empfehle ich Bitwarden immer denen, die erweiterte Funktionen brauchen oder dem im Webbrowser integrierten Passwortmanager nicht vertrauen. KeePassXC mit Synchronisierung auszustatten, ist für normale Nutzer zu schwierig.
Zum Beispiel braucht man einen Ort in einem verschlüsselten Speicher für Geheimnisse, die keine Websites sind: Antworten auf Sicherheitsfragen, zugehörige E-Mail-Aliasse oder die PIN des Handys des Ehepartners.
Der Firefox-Passwortmanager ist zu simpel, weil er nur die zwei Felder „Benutzername“ und „Passwort“ hat. Eine bessere User Experience für normale Nutzer ist nicht, einige Geheimnisse in Firefox und den Rest in einer anderen App zu speichern, sondern alle Geheimnisse in einer einzigen App zu bündeln.
Auf Mobilgeräten sind sie umständlich, plattformabhängig, und lokal gespeicherte, nicht synchronisierte Daten kann man leicht verlieren. Die Nutzung über mehrere Geräte hinweg ist ebenfalls komplizierter, besonders im Arbeitsumfeld.
Umgekehrt verstehen Menschen in der Regel gut, dass sie auf jedem Gerät eine App installieren und diese App das für sie erledigt.
Dann wären Passwörter kein reines Firefox-Feature mehr, sondern Teil des Mozilla-Kontos. Bitwarden ist an genau dieser Stelle stark und kommt dem Modell nahe, das es zu schlagen gilt.
Mozilla hätte zwar den Vorteil, dass Browser-Integration praktisch als erstklassiges Feature eingebaut ist, aber wenn man nicht ausschließlich Firefox nutzt, wirkt ein einzelner Browser kaum wie der passende Ort für die Passwortverwaltung.
An Bitwarden gefällt mir, dass der Passwortzugriff auch bei geöffnetem Browser „gesperrt“ bleiben kann. Als ich früher nachgesehen habe, musste man bei Firefox beim Start das Master-Passwort eingeben, selbst wenn man gerade kein Passwort brauchte; schon dass das Entsperren des Tresors an den Browserstart gekoppelt war, war für mich ein Grund, es aufzugeben.
Bitwarden ist in meiner Firma freigegeben, kann selbst gehostet werden und unterstützt Logins für unzählige Apps über Browser und Mobilgeräte hinweg.
Ob mobile App, mobile Website oder Browser-Website: Es funktioniert im Allgemeinen gut. Außerdem kann man beliebige Informationen wie Kreditkarten, sichere Notizen, Groß-/Kleinschreibung bei Antworten auf Sicherheitsfragen sowie Kontowiederherstellungs- und Login-Informationen speichern, was ziemlich gut ist.
Weißt du, dass die Tab-Synchronisierung von Firefox zwischen Geräten kaputt ist? Sie ist seit dem 24. August defekt und immer noch nicht behoben. https://bugzilla.mozilla.org/show_bug.cgi?id=1913795
Wenn sie nicht einmal Tabs zwischen Geräten synchronisieren können, fällt es mir schwer, ihnen meine Passwortsynchronisierung anzuvertrauen.
Es ist gut zu sehen, dass Bitwarden hier den Kurs korrigiert hat. Da ich nicht gerade darauf erpicht war, zu einem anderen Passwortmanager zu wechseln, bin ich ziemlich zufrieden.
Einen Passwortmanager zu wechseln ist lästig, daher bin ich froh, dass ich jetzt nicht mehr das Gefühl habe, unbedingt umziehen zu müssen.
Bitwarden ist immer noch großartig, aber man sollte es in den nächsten Jahren beobachten. Man sollte nicht vergessen, dass Bitwarden ursprünglich als Alternative gestartet ist, um die seltsamen Entwicklungen bei LastPass zu vermeiden.
Ich weiß allerdings nicht, warum dieser Git-Commit verlinkt wurde. Ich würde lieber die entsprechende Diskussion sehen. https://github.com/bitwarden/clients/issues/11611
Als Beleg: Bitwarden ist der Passwortmanager, den gesponserte YouTuber nicht empfehlen, nicht gesponserte YouTuber aber immer.
Danke an Bitwarden, dass sie zugehört haben. So etwas gibt auch dem Open-Source-Geschäftsmodell Hoffnung.
Zugehöriger Link: https://github.com/bitwarden/clients/issues/11611#issuecomme...
Frühere Diskussion: https://news.ycombinator.com/item?id=41893994
Ich finde, das wurde ziemlich effektiv und auf eine Open-Source-typische Weise gehandhabt. Gut, dass es ohne seltsame Tricks gelöst wurde; dadurch bleibt mir der lästige Umzug weg von Bitwarden erspart
Ganz erledigt ist es noch nicht. Ein Teil wurde neu lizenziert, aber ein Teil bleibt unter der alten Lizenz für nicht-freie Software-SDKs
Beispiel: https://github.com/bitwarden/sdk-internal/commit/db648d7ea85...
Bitwarden war schon immer Open Core und nicht vollständig GPLv3, und das ist nachvollziehbar. Am Ende brauchen sie ja etwas, das sie verkaufen können
Dass sie sich in die richtige Richtung bewegt haben, kann man anerkennen. Ein paar Tage lang war überhaupt nicht klar, wie Bitwarden reagieren würde
Es ist eines der wenigen Unternehmen, die ihr Produkt als Open Source veröffentlichen. Jetzt ist wirklich noch nicht der Zeitpunkt für Misstrauen und Belehrungen
Eine erfreuliche Änderung. Trotzdem bleibt der Eindruck, dass man bei der Lizenzierung zu clever sein wollte. Besonders die Art, GPL-Code und proprietär lizenzierten Code zu kombinieren, scheint die eigentliche Ursache dieses Wirbels zu sein
Das Open-Core-Modell passt besser zu Hosting-Diensten, die keine Artefakte ausliefern, in denen GPL- und proprietärer Code zusammengeführt sind. Open Core im Client-Code zu betreiben, wirkt wie ein Einfallstor für Missverständnisse und Verwirrung
Ich hoffe trotzdem, dass es gut ausgeht. Es ist ein gutes Produkt