Anfang Juli sorgte ein Update der Datenschutzrichtlinie für den Audio-Editor Audacity für Aufsehen unter Community-Mitgliedern, die unnötige Telemetrie anführten. Die Muttergesellschaft Muse Group hat gegenteilige Zusicherungen angeboten, hat aber jetzt anscheinend Telemetrie zusammen mit einigen Lizenzproblemen wieder auf den Tisch gebracht.
Die Community von Audacity ist von der Richtlinie als Open-Source-Richtlinie beunruhigt Software hat seit ihrer ersten Veröffentlichung nie eine Internetverbindung benötigt. Die plötzliche Aufnahme von Details zur Datensammlung (und zum Datenaustausch) in die Datenschutzrichtlinie der Muse Group war verständlicherweise besorgniserregend.
In der Richtlinienaktualisierung heißt es, dass die Muse Group eine Vielzahl von Daten sammeln würde; die meisten davon sind alltäglich—wie Absturzberichte, nicht schwerwiegende Fehlercodes, Benutzercomputerinformationen und der geografische Standort—aber einige hoben die Augenbrauen, wie “Daten, die für Strafverfolgungsbehörden und Behörden erforderlich sind’ Anfragen (falls vorhanden).” Es fügte hinzu, dass die Software “nicht für Personen unter 13 Jahren bestimmt ist” und forderte, dass Personen unter diesem Alter “Bitte verwenden Sie die App nicht.” Während dieses Alter willkürlich erscheinen mag, ist es nicht; 13 ist das Alter, unter dem sich ein Unternehmen mit verschiedenen internationalen Gesetzen und Beschränkungen zur Erfassung von Kinderdaten auseinandersetzen muss.
AudacityDas in Russland ansässige Unternehmen hat auch eine schockierende neue Contributor License Agreement (CLA) auf der GitHub-Seite von Audacity veröffentlicht. Darin erklärte Daniel Ray, Head of Strategy der Muse Group, dass alle zukünftigen und früheren Mitwirkenden an die Vereinbarung gebunden sind; Dies gibt dem Unternehmen volle Rechte und Kontrolle über den bereitgestellten Code (einschließlich dessen, wie er verwendet wird oder verwendet werden kann). Die Vereinbarung besagt, dass “Mitwirkende behalten das Urheberrecht an ihrem Code und können ihn nach Belieben verwenden” aber auch, dass sie kein Mitspracherecht bei Code haben, der bereits in Audacity zusammengeführt wurde.
Warum den GAV implementieren, fragen Sie? Muse Group beabsichtigt, die Software neu zu lizenzieren und sie von GPLv2 auf GPLv3 umzustellen, was sie für eine größere Vielfalt von Technologien und Bibliotheken öffnen würde, an denen das Unternehmen interessiert ist. Für die Aufzeichnung besitzt es mehrere beliebte musikzentrierte Anwendungen wie Ultimate Gitarre, MuseScore, StaffPad, Tonebridge und MuseClass.
Die CLA- und Neulizenzierungsbemühungen sind alle in Ordnung (und in der Open-Source-Community sicherlich nicht unbekannt) und beide würden wahrscheinlich bei den Benutzern mehr oder weniger gut ankommen, aber das Problem liegt in der Tatsache, dass Ray sagte, das Unternehmen könnte es tun entscheiden, den Code doppelt zu lizenzieren. Dies könnte es Muse Group möglicherweise ermöglichen, eine separate Version von Audacity unter einer anderen Lizenz herauszugeben. Als Grund für die Notwendigkeit dieser Klausel nannte Ray die Umverteilungsanforderungen der Anbieter (z. B. für den App Store von Apple), aber die Aussage ist ziemlich vage und könnte andere Auswirkungen haben.
Der neue CLA legt außerdem fest, dass die Muse Group Contributor-Code in anderen Closed-Source-Produkten verwenden kann, “um die Weiterentwicklung von Audacity zu unterstützen.” Während das Unternehmen dies bereits mit seinem eigenen Code tut, “der CLA ermöglicht es uns, dies mit unseren Mitwirkenden zu tun’ auch codieren. Dies ist notwendig, da Community-Code und interner Code oft auf eine Weise vermischt werden, die später schwer zu trennen ist … Wir können nicht zulassen, dass die Annahme von Beiträgen der Community zu einem Nachteil wird, der uns daran hindert, unseren Code in anderen Produkten zu verwenden.”
AudacityAngesichts der Open-Source-Natur von Audacity ist es leicht zu erkennen, warum der CLA innerhalb der Community so viel Aufsehen erregt hat. Tonnen von Leuten haben im Laufe der Jahre zum Code der Software beigetragen, und es wäre wahrscheinlich ein gewaltiges Unterfangen, alle dazu zu bringen, diese Änderungen zu unterzeichnen. Als Antwort auf einen Kommentar, der solche Bedenken im CLA-Blog-Post zum Ausdruck brachte, betonte Ray jedoch, dass die Muse Group nur wichtige Mitwirkende brauchen würde, um sich abzuzeichnen. Triviale Commits (einzelne Einsendungen mit nur wenigen Codezeilen) würden einfach umgeschrieben, damit das Unternehmen nicht alle Originalautoren ausfindig machen und sie auch dazu bringen müsste, sich abzumelden.
Ray erklärte, dass die ursprüngliche veröffentlichte Datenschutzrichtlinie ein falscher Entwurf war und alle Verwirrung und Spyware-Anschuldigungen “hauptsächlich auf unklare Formulierungen in der Datenschutzrichtlinie zurückzuführen waren, die wir jetzt korrigieren.” ; Er fügte auch einige weitere Klarstellungen hinzu und sagte, dass Audacity Version 3.0.3 nur Daten wie die IP-Adresse des Benutzers, grundlegende Informationen zum Computer des Benutzers und optionale Fehlerberichte sammelt. Er hat auch Maßnahmen ergriffen, um sicherzustellen, dass Benutzer keine Daten zu Strafverfolgungszwecken sammeln und dass Benutzer das Programm offline ausführen können, um die Richtlinie vollständig zu umgehen.
Das ist alles viel zu verarbeiten, und es ist’ Kein Wunder, dass viele langjährige Audacity-Mitarbeiter und -Benutzer sich benachteiligt und/oder besorgt um die Zukunft der Software fühlen. Die Zurücknahme der ursprünglichen Datenschutzrichtlinie der Muse Group nach der Gegenreaktion und die anschließende Zurücknahme und Kennzeichnung als falscher Entwurf liest sich immer noch verdächtig und wird schwer zu übersehen sein.
Nicht überraschenderweise haben einige Benutzer die Software bereits in ein neues Projekt mit dem Namen (passenderweise) Tenacity gespalten. Obwohl es keine Garantie dafür gibt, dass das Projekt überlebt oder gegenüber der Version von Muse (oder anderen alternativen Programmen) bevorzugt wird, liegt das Schicksal dieser Version der Software noch in der Luft. Hoffentlich landet es auf die eine oder andere Weise auf den Füßen.
via Hackaday