Rug Pulls, Forks und Open-Source-Feudalismus

 (lwn.net)
11 Punkte von GN⁺ 2025-09-08 | Noch keine Kommentare. | Auf WhatsApp teilen
  • Eine Einordnung, wie die Machtverhältnisse im Open-Source-Ökosystem zwischen Unternehmen, Entwickler:innen und Nutzer:innen funktionieren und welche Auswirkungen die Taktiken Rug Pull (Relizenzierung) und Fork haben, die diese Verhältnisse erschüttern
  • Während große Cloud-Anbieter erheblichen Einfluss ausüben, können von einem einzelnen Unternehmen dominierte Projekte durch Relizenzierung Macht neu verteilen; als Reaktion darauf entstehen Forks
  • Die Fallanalysen zu Elasticsearch→OpenSearch, Terraform→OpenTofu, Redis→Valkey und Puppet→OpenVox zeigen jeweils unterschiedliche Muster der Neuordnung von Communities und der Verschiebung von Mitwirkenden
  • Die Einführung von CLAs, die Dominanz eines einzelnen Unternehmens und der Zeitpunkt einer Überführung an eine Stiftung werden als Warnsignale für ein Rug-Pull-Risiko genannt; als Gegenstrategie werden neutrale Governance und eine breitere Basis aus beitragenden Organisationen empfohlen
  • Fazit: Relizenzierung kann ein Mittel zur Einhegung von Cloud-Anbietern sein, schwächt aber zugleich die Rechte der Mitwirkenden; die Möglichkeit eines Forks wirkt als hemmender Faktor auf Unternehmensentscheidungen

Machtstrukturen in Open Source sowie Rug Pulls und Forks

  • Im Open-Source-Software-Ökosystem üben Großunternehmen, kleine und mittlere Unternehmen, Mitwirkende und Nutzer:innen jeweils Macht aus, um Einfluss auf die Ausrichtung der Software und die Erlösstruktur zu nehmen
  • Insbesondere große Cloud-Anbieter verfügen über erhebliche Macht und neigen dazu, gegenüber kleineren Unternehmen oder Communities im Vorteil zu sein
  • In dieser Situation kommt es zu Machtverschiebungen, wenn Entwicklungsfirmen oder projektbesitzende Unternehmen die Softwarelizenz ändern (Rug Pull) oder umgekehrt Communities bzw. andere Unternehmen einen Fork vorantreiben

Überblick über Machtverhältnisse und Taktiken

  • In der Open-Source-Welt üben große Cloud-Anbieter die stärkste Kanal- und Distributionsmacht aus und schaffen damit eine Struktur, in der kleine Unternehmen, Mitwirkende und Nutzer:innen ausgebeutet werden
    • Ähnlich wie im Feudalismus durch die Kontrolle von Land umgehen Cloud-Anbieter Beiträge, indem sie Open-Source-Software als Service anbieten
    • Kleine Unternehmen leisten den Großteil der Entwicklungsarbeit, geraten aber durch die kostenlose Nutzung durch Cloud-Anbieter in eine benachteiligte Position
  • Mit der Taktik des Rug Pulls begegnen kleine Unternehmen Cloud-Anbietern durch Relizenzierung der Software, was jedoch Mitwirkenden und Nutzer:innen größeren Schaden zufügen kann
    • Wenn Cloud-Anbieter Projekte als Service anbieten, ohne beizutragen, schwächt das die Macht kleiner Unternehmen
    • Die Relizenzierung bringt Nachteile für Nutzer:innen mit sich, doch über Forks lässt sich das Machtgleichgewicht neu austarieren
  • Bei von einem einzelnen Unternehmen geführten Projekten ist das Rug-Pull-Risiko hoch; eine Bewertung der Reputation des Unternehmens ist nötig, kann aber durch Übernahmen oder Insolvenzen hinfällig werden
    • Unter Druck von Investor:innen kommt es zur Relizenzierung, um den Umsatz zu steigern, besonders häufig im Wettbewerb mit Cloud-Anbietern
    • Durch restriktivere Lizenzen soll die Monetarisierung durch Dritte erschwert und so Macht verlagert werden
  • Durch Rug Pulls ausgelöste Forks sind eine aufständische Form kollektiven Handelns zur Wiederherstellung von Macht, tragen aber ein hohes Scheiterrisiko wegen Mangels an Personal und Ressourcen
    • Große Unternehmen oder Cloud-Anbieter können Forks mit ihren Ressourcen unterstützen, doch selbst populäre Forks sind nicht immer erfolgreich
    • Wie bei MongoDB oder Sentry gibt es Fälle ohne Fork; nach der Übernahme von Puppet durch Perforce führte die Schließung der Entwicklung zu dem Fork OpenVox

Vergleich wichtiger Fälle

Dawn Foster analysierte verschiedene Rug Pulls, Forks und deren Auswirkungen im Anschluss anhand von Daten. (Ein Teil der Ergebnisse wurde als Datensatz in einem Jupyter-Notebook veröffentlicht.)

  • Elasticsearch → OpenSearch
    • Nach der SSPL-Relizenzierung durch Elastic im Jahr 2021 organisierte AWS den OpenSearch-Fork
    • Bei Elastic blieb der Anteil interner Mitwirkender vor und nach dem Fork weitgehend unverändert, während OpenSearch weiterhin ein Muster Amazon-dominierter Beiträge zeigt
    • Der Analyse zufolge war auch nach der Überführung an die Linux Foundation im Jahr 2024 kein sprunghafter Anstieg externer Beiträge zu beobachten
  • Terraform → OpenTofu
    • Unmittelbar nach dem Wechsel auf die BSL durch HashiCorp im Jahr 2023 wurde OpenTofu unter dem Dach der Linux Foundation gestartet
    • Terraform blieb weiterhin von internen Beiträgen geprägt, während bei OpenTofu rasch neue Mitwirkende aus mehreren Unternehmen hinzukamen
    • Dieser Fall legt nahe, dass ein nutzergetriebener Fork + Start unter einer neutralen Stiftung für die Bildung einer aktiven Community vorteilhaft ist
  • Redis → Valkey
    • Unmittelbar nach dem Wechsel von Redis auf SSPL im Jahr 2024 wechselte ein großer Teil der bisherigen externen Mitwirkenden zu Valkey
    • Redis war vor dem Fork ein Ausnahmefall mit hohem Anteil externer Beiträge; nach dem Fork fiel dieser Wert abrupt auf 0 externe Beiträge, während Valkey als Community mehrerer Unternehmen startete
  • Puppet → OpenVox
    • Nach der Übernahme durch Perforce (2022) wurden Entwicklung und Releases geschlossen und die Release-Frequenz reduziert; als Reaktion darauf trieb die Community den OpenVox-Fork voran

Datenbeobachtungen und Metriken

  • Nach einem Rug Pull ist häufig ein sprunghafter Anstieg der Zahl von GitHub-Forks zu beobachten; das wird als Proxy-Signal für Bestrebungen gedeutet, einen Hard Fork zu prüfen
    • Langfristig zeigt sich tendenziell, dass Original und Fork parallel weiterentwickelt werden, während bei relizenzierten Originalen eine sinkende Nutzung beobachtet wird
  • Ein Start unter dem Dach einer Stiftung begünstigt in der Frühphase neuer Projekte die Gewinnung von Beiträgen, während eine spätere Überführung nur begrenzte Wirkung haben kann
    • Der Fall OpenSearch deutet darauf hin, dass eine Überführung allein keinen starken Anstieg externer Beiträge garantiert

Warnsignale und Leitlinien

  • Die Verwendung von CLA (Contributor License Agreement) ist ein Signal dafür, dass Relizenzierungsrechte bei Unternehmen konzentriert werden und sich damit Machtungleichgewichte verstärken
    • Projekte auf Basis von DCO (Developers Certificate of Origin) weisen tendenziell ein geringeres Rug-Pull-Risiko auf
  • Eine Prüfung der Governance ist notwendig; die Dominanz eines einzelnen Unternehmens und eine konzentrierte Führung sind Risikofaktoren
    • Projekte mit neutraler Stiftung, Führung durch mehrere Organisationen und breiter externer Beitragsbasis sind in Bezug auf Nachhaltigkeit im Vorteil
  • Auch die Breite und Tiefe der Beitragsbasis ist ein zentrales Bewertungskriterium
    • Unternehmen sollten in Projekte, von denen sie abhängen, eigene Mitwirkende entsenden, um Einfluss und Nachhaltigkeit zugleich zu stärken
    • Die Metriken und Practitioner Guides von CHAOSS können zur Diagnose und Verbesserung der Projektgesundheit genutzt werden

Empfehlungen zu Community und Governance

  • Die Förderung neutraler Governance-Strukturen und mehr externer Mitwirkender ist ein wirksames Mittel zur Eindämmung von Rug Pulls
    • Schon die Möglichkeit eines Forks erhöht die Kosten einer Relizenzierungsentscheidung für Unternehmen und wirkt damit abschreckend
  • Auf die Frage von Hazel Weakly nach Schutzmechanismen verwies die Vortragende auf Valkey und OpenTofu als reale Erfolgsfälle, die ein Überdenken von Relizenzierungen ausgelöst hätten
    • Dirk Hohndel betonte, dass mehr externe Mitwirkende das Rug-Pull-Risiko erhöhen und damit auch das Managementrisiko bei Entscheidungen vergrößern

Fazit

  • Mit dem wachsenden Einfluss großer Cloud-Anbieter nimmt das Open-Source-Ökosystem zunehmend eine feudalistische Struktur an
  • Lizenzänderungen begrenzen zwar die Macht von Cloud-Anbietern, haben aber den Nebeneffekt, die Rechte der Community-Mitwirkenden zu schwächen
  • Für Mitwirkende und Nutzer:innen gibt es jedoch mit dem Fork ein Mittel zum Gegenangriff; das ist eine besondere Stärke von Open Source im Unterschied zum Feudalismus
  • Die reale Möglichkeit eines Forks beeinflusst künftige Unternehmensentscheidungen; angeregt durch die Erfolge von Valkey und OpenTofu haben einige Unternehmen Rug-Pull-Pläne wieder verworfen
  • Letztlich sind Governance-Neutralität und aktive externe Mitwirkende der Schlüssel, um Rug Pulls zu verhindern und ein gesundes Ökosystem zu erhalten

Referenzmaterial

Verwandte Beiträge

Noch keine Kommentare.

Noch keine Kommentare.