Eerder in juli veroorzaakte een update van het privacybeleid voor audio-editor Audacity opschudding onder leden van de gemeenschap, die onnodige telemetrie noemden. Moederbedrijf Muse Group bood het tegendeel aan, maar heeft nu schijnbaar telemetrie weer op tafel gelegd, samen met enkele licentiekwesties.
De gemeenschap van Audacity heeft last van het beleid, aangezien de open-source software heeft nooit een internetverbinding nodig gehad sinds het voor het eerst werd uitgebracht. De plotselinge toevoeging van details over het verzamelen van gegevens (en het delen van gegevens) aan het privacybeleid van Muse Group was begrijpelijkerwijs zorgwekkend.
In de beleidsupdate stond dat Muse Group een verscheidenheid aan gegevens zou verzamelen; waarvan de meeste alledaags zijn, zoals crashrapporten, niet-fatale foutcodes, computergegevens van gebruikers en geografische locatie, maar sommige opgetrokken wenkbrauwen, zoals 'gegevens die nodig zijn voor wetshandhaving en autoriteiten' verzoeken (indien van toepassing).” Het voegde er ook aan toe dat de software “niet bedoeld is voor personen onder de leeftijd van 13” en verzocht mensen onder die leeftijd “gebruik de app niet.” Hoewel die leeftijd misschien willekeurig lijkt, is het dat niet; 13 is de leeftijd waaronder een bedrijf te maken krijgt met verschillende internationale wetten en beperkingen voor het verzamelen van gegevens over kinderen.
AudacityHet in Rusland gevestigde bedrijf liet ook een schokkende nieuwe Contributor License Agreement (CLA) vallen op de GitHub-pagina van Audacity. Daarin legde Daniel Ray, hoofd Strategie van Muse Group, uit dat alle toekomstige en vroegere bijdragers aan de overeenkomst gebonden zijn; dit geeft het bedrijf volledige rechten en controle over de ingebrachte code (inclusief hoe deze wordt of kan worden gebruikt). In de overeenkomst staat dat “bijdragers het auteursrecht op hun code behouden en vrij zijn om deze te gebruiken zoals ze willen,” maar ook dat ze geen inspraak hebben in code die al is samengevoegd in Audacity.
Waarom de cao implementeren, vraagt u zich af? Muse Group is van plan de software opnieuw te licentiëren en deze te verplaatsen van GPLv2 naar GPLv3, waardoor deze toegang zou krijgen tot een grotere verscheidenheid aan technologieën en bibliotheken waarin het bedrijf geïnteresseerd is. Voor de goede orde, het bezit verschillende populaire muziekgerichte applicaties, zoals Ultimate Gitaar, MuseScore, StaffPad, Tonebridge en MuseClass.
De CLA en het opnieuw verlenen van licenties zijn allemaal prima en dandy (en zeker niet ongehoord in de open-sourcegemeenschap) en zouden waarschijnlijk min of meer goed gaan met gebruikers, maar het probleem ligt in het feit dat Ray zei dat het bedrijf misschien besluiten om de code dubbel te licentiëren. Dit zou Muse Group mogelijk in staat kunnen stellen een aparte versie van Audacity uit te brengen onder een andere licentie. Ray noemde herdistributievereisten van leveranciers (bijvoorbeeld voor de App Store van Apple) als reden waarom deze clausule nodig is, maar de verklaring is nogal vaag en kan andere implicaties hebben.
De nieuwe CAO stelt ook dat Muse Group bijdragecode kan gebruiken in andere closed-source producten "om de verdere ontwikkeling van Audacity te ondersteunen". Terwijl het bedrijf dit al doet met zijn eigen code, “de CLA stelt ons in staat om het te doen met onze medewerkers’ ook coderen. Dit is nodig omdat communitycode en interne code vaak vermengd worden op manieren die later moeilijk te scheiden zijn … We kunnen niet toestaan dat het feit dat we bijdragen van de community accepteren een nadeel wordt dat ons ervan weerhoudt onze code in andere producten te gebruiken.”
AudacityGezien het open-source karakter van Audacity, is het gemakkelijk in te zien waarom de CLA zo'n rimpeling heeft veroorzaakt binnen de gemeenschap. Talloze mensen hebben in de loop der jaren bijgedragen aan de code van de software, en het zou waarschijnlijk een enorme onderneming zijn om ze allemaal te laten ondertekenen voor deze veranderingen. In antwoord op een opmerking waarin dergelijke bezorgdheid werd geuit op de CLA-blogpost, benadrukte Ray echter dat Muse Group alleen grote bijdragers nodig zou hebben om te ondertekenen. Triviale commits (enkele inzendingen met slechts een paar regels code) zouden eenvoudigweg worden herschreven, zodat het bedrijf niet alle oorspronkelijke auteurs hoeft op te sporen en ze ook te laten ondertekenen.
Ray verklaarde dat het oorspronkelijke privacybeleid dat werd vrijgegeven een verkeerd concept was en dat alle verwarring en beschuldigingen van spyware “grotendeels te wijten waren aan onduidelijke formuleringen in het privacybeleid, dat we nu aan het corrigeren zijn”. ; Hij voegde er ook wat meer uitleg over toe en zei dat Audacity versie 3.0.3 alleen gegevens verzamelt zoals het IP-adres van de gebruiker, basisinformatie over de computer van de gebruiker en optionele foutrapporten. Hij nam ook maatregelen om ervoor te zorgen dat gebruikers geen gegevens verzamelen voor wetshandhavingsdoeleinden en dat gebruikers het programma offline kunnen uitvoeren om het beleid ronduit te omzeilen.
Dit is allemaal veel om te verwerken, en het’ Het is geen wonder dat veel oude Audacity-bijdragers en gebruikers zich gekleineerd voelen en/of zich zorgen maken over de toekomst van de software. De intrekking van het oorspronkelijke privacybeleid van Muse Group na de terugslag en de daaropvolgende terugval en het labelen ervan als een verkeerd concept, leest nog steeds verdacht en zal moeilijk over het hoofd te zien zijn.
Niet verrassend genoeg hebben sommige gebruikers de software al gevorkt in een nieuw project, genaamd (passend) Tenacity. Hoewel er geen garantie is dat het project zal overleven of de voorkeur zal krijgen boven de Muse-versie (of andere alternatieve programma's), hangt het lot van die versie van de software nog steeds in de lucht. Ik hoop dat het op de een of andere manier op zijn pootjes terechtkomt.
via Hackaday