Entwickler von Excalidraw, dem meistgeladenen Obsidian-Plugin, kritisiert Score im neuen Obsidian-Community-Portal

 (youtube.com)
5 Punkte von hyungyunlim 4 시간 전 | Noch keine Kommentare. | Auf WhatsApp teilen

Nachdem Obsidian im neuen Community-Portal Reviews zu Plugin-Sicherheit, -Qualität und -Wartung veröffentlicht hat, äußerte sich Zsolt (zsviczian), der Entwickler von Excalidraw – mit 6,1 Millionen kumulierten Downloads (rund 5 % aller Downloads) das meistgeladene Plugin – in einem 27-minütigen Video aus Entwicklersicht. Auch Obsidian-CEO Steph Ango (kepano) reagierte umgehend mit einer langen Antwort auf Reddit, woraufhin die Debatte weiterging.

Was ist passiert?

  • Obsidian verfügt über rund 4.000 Plugins und 120 Millionen kumulierte Downloads. Da externe Drittanbieter-Reviewseiten wie Pilze aus dem Boden schossen und Sicherheitsprobleme in den Vordergrund rückten, wurde eine offizielle Reaktion unvermeidlich.
  • Das neue Community-Portal veröffentlicht automatisierte Scorecards zu Qualität (quality), Wartung (maintenance) sowie Sicherheit/Code-Qualität (security).
  • Die automatisierten Reviews basieren auf obsidianmd/eslint-plugin, das seit vergangenem Jahr öffentlich ist; seit Juni 2025 wurde dazu mit Entwicklern im Discord-Kanal abgestimmt.
  • Excalidraw lag anfangs bei etwa 38–40 % und wurde als "high risk" gekennzeichnet. Zsolt beschrieb es als das Gefühl, "als wäre das Werk meines Lebens beschmutzt worden".

Zsolts Argumente

  • Die Lücke zwischen "Scanner-Score und Realität" — rund 100 externe Links wurden als riskant eingestuft, tatsächlich handelte es sich aber um OCR/AI-Opt-in, Hilfsvideos, Links zum Script-Store usw., also ohne böswillige Absicht.
  • Grenzen der Obsidian-API machen Workarounds unvermeidlich — Electron-API für PDF-Druck, MathJax-SVG-Export, fehlende Verteilung von Fonts/Multi-Assets → solche Umgehungslösungen werden sofort als "high risk" markiert.
  • An Hobbyentwickler werden kommerzielle Maßstäbe angelegt — es ist kein Vollzeitprojekt, sondern praktisch ein 0,1-Personen-Projekt, das plötzlich Enterprise-Niveau bei der Qualität erfüllen soll.
  • Es fehlt ein Framework für kostenpflichtige Plugins — von 110.000 regelmäßigen Nutzern unterstützen nur etwa 100 Personen (0,09 %). Außer Ko-fi gibt es keinen Monetarisierungsweg.
  • Sorge vor einer Rückkehr zu Closed Source — um Scans zu vermeiden, entsteht ein Anreiz, auf nichtöffentlichen Code umzusteigen.
  • Was ist der eigentliche Maßstab für Vertrauen? — "Wichtiger als ein Security-Review sind Lebensdauer des Plugins, Support-Niveau und die Verbindung zum Entwickler."
  • Er selbst habe vier Tage investiert und den Score auf 78 % erhöht.

Steph Angos Antwort — 292 Likes auf Reddit

  • Einen Monat vor dem Launch wurden Alpha-Tester (einschließlich Zsolt) über das neue Portal, das Dashboard und alle Ankündigungen informiert; Hunderte Punkte aus Entwicklerfeedback wurden übernommen. Zsolt habe in dieser Zeit allerdings nicht geantwortet.
  • Bestehende populäre Plugins (einschließlich Excalidraw) wurden per "grandfathered"-Regelung behandelt, sodass für sie lockerere Regeln gelten als für neue Plugins.
  • Neue Closed-Source-Plugins werden vorerst nicht genehmigt, bestehende Closed-Source-Plugins bleiben jedoch erhalten.
  • Es wurden neue Richtlinien, Labels und Filter für kostenpflichtige Plugins eingeführt, aber wegen der Richtlinien auf iOS/Android ist eine verpflichtende In-App-Zahlung nicht möglich.
  • Auch bei Obsidian selbst nutzen nur rund 1 % der Anwender die kostenpflichtigen Dienste Sync/Publish — ein strukturelles Problem, weil Big Tech die Erwartung verfestigt hat, dass Software kostenlos zu sein habe.
  • Da er selbst früher Entwickler populärer Themes und Plugins war, habe er Verständnis für den "Schmerz, wenn sich die Plattform unter den eigenen Füßen verändert".

Reaktionen aus der Community

  • "In einer Zeit, in der Supply-Chain-Angriffe zum Alltag gehören, ist es etwas naiv, die Verantwortung allein den Nutzern zuzuschieben." (mesarthim_2, 112 Likes)
  • "Eine objektive Messung wurde als persönlicher Angriff aufgefasst. Wenn dir der Score nicht gefällt, solltest du den Score verbessern." (DeliriumTrigger)
  • "Die Open-Source-Community selbst hat dazu beigetragen, dass 'kostenlos ist selbstverständlich' als Haltung dominiert. Es ist nichts Beschämendes daran, mit guter Software reich zu werden." (mesarthim_2)
  • "Abos ermüden. Eine Einmallizenz plus selbstgehostetes Sync-Paket klingt attraktiver." (rg_software)
  • "Da AI die Einstiegshürde für die Plugin-Entwicklung gesenkt hat, sind Sicherheitsaudits unverzichtbar." (Legal_1425)

Warum ist das wichtig?

  • Die asymmetrische Struktur von "1 Million Nutzer × 4.000 Plugins × 7 Kernteam-Mitglieder" — der Fall Obsidian zeigt das Governance-Dilemma aller offenen Ökosysteme mit kleinen Teams (VSCode, Raycast, Logseq usw.) sehr deutlich.
  • Der Versuch, mehr Sicherheitstransparenz zu schaffen, kann paradoxerweise zu Burnout bei Hobbyentwicklern → Rückkehr zu Closed Source → einem geschlosseneren Ökosystem führen.
  • Die Kernfrage bleibt am Ende: "Es gibt kein kostenloses Mittagessen. Wer trägt die Kosten?"

Originaltext

Verwandte Beiträge

Noch keine Kommentare.

Noch keine Kommentare.