3 puntos por GN⁺ 2024-10-25 | 2 comentarios | Compartir por WhatsApp
  • El commit db648d7 de Bitwarden sdk-internal ordena el texto de la licencia del SDK, y en HN se trata como un caso de cambio de licencia de una propietaria a GPLv3
  • El LICENSE raíz fue reemplazado en gran parte, con 295 líneas eliminadas y 20 agregadas, y los nuevos LICENSE_GPL.txt y LICENSE_SDK.txt pasan a ser el centro de la estructura de licencias
  • El workspace de Rust incluye bitwarden_license/* entre sus miembros y mueve la ruta de dependencia de bitwarden-sm a bitwarden_license/bitwarden-sm
  • En el crate bitwarden-sm, el cambio principal es el traslado de directorio, y varios archivos src fueron tratados como renames sin cambios de contenido
  • bitwarden-sm/Cargo.toml apunta directamente a ../../LICENSE_SDK.txt en lugar de usar los valores comunes del workspace, explicitando el archivo de licencia de ese crate

Qué cambió en el commit

  • El título del commit de bitwarden/sdk-internal es “Improve licensing language
  • El título en HN presenta este cambio como “Bitwarden SDK cambia su licencia de una propietaria a GPLv3
  • El diff de GitHub incluye tanto el reemplazo de archivos de licencia como cambios en la configuración del workspace de Rust

Reorganización de archivos de licencia

  • El archivo LICENSE raíz aparece con 20 líneas agregadas y 295 eliminadas
    • GitHub no renderiza por defecto diffs grandes, por lo que el contenido completo no se muestra en el cuerpo
  • Se agregó el nuevo archivo LICENSE_GPL.txt
    • El cambio es de 674 líneas agregadas y 0 eliminadas
  • También se agregó el nuevo archivo LICENSE_SDK.txt
    • El cambio es de 295 líneas agregadas y 0 eliminadas
  • La lista de elementos modificados también incluye LICENSE_GPL.txt para Kotlin y Swift
    • languages/kotlin/sdk/src/main/resources/META-INF/LICENSE_GPL.txt
    • languages/swift/LICENSE_GPL.txt

Cambio de rutas en el workspace de Rust

  • Se ampliaron los miembros del workspace en el Cargo.toml raíz
    • Antes: members = ["crates/*"]
    • Después: members = ["crates/*", "bitwarden_license/*"]
  • También cambió la ruta de bitwarden-sm en las dependencias del workspace
    • Antes: crates/bitwarden-sm
    • Después: bitwarden_license/bitwarden-sm
  • Con esto, bitwarden-sm pasa a referenciarse desde bitwarden_license y ya no desde el subdirectorio crates

Traslado de bitwarden-sm y especificación de licencia

  • crates/bitwarden-sm/Cargo.toml fue renombrado a bitwarden_license/bitwarden-sm/Cargo.toml
  • Cambió la forma de especificar la licencia en bitwarden-sm/Cargo.toml
    • Antes: license-file.workspace = true
    • Después: license-file = "../../LICENSE_SDK.txt"
  • Ese crate especifica directamente LICENSE_SDK.txt en lugar de usar la configuración común de archivo de licencia del workspace

Un diff más cercano a una reorganización de rutas que a cambios de código

  • Varios archivos fuente Rust de bitwarden-sm fueron movidos sin cambios de contenido
    • client_projects.rs
    • client_secrets.rs
    • lib.rs
    • projects/create.rs
    • projects/delete.rs
  • El árbol de archivos también muestra módulos relacionados con proyectos y secretos como elementos movidos bajo bitwarden_license/bitwarden-sm/src
  • Los elementos de rename mostrados en el cuerpo se enfocan en la reorganización de rutas y cambios en la estructura de licencias, no en modificaciones de código

2 comentarios

 
unsure4000 2024-10-25

Inmunidad contra las críticas ++;

 
GN⁺ 2024-10-25
Opiniones de Hacker News
  • Qué alivio. La empresa quizá habría sobrevivido de alguna manera, pero le habría costado mucho seguir siendo una compañía querida por los desarrolladores, y el precio habría sido alto
    Espero que Bitwarden se haya dado cuenta de que ser software libre/de código abierto (FOSS) es su ventaja competitiva, y que gracias a eso recibe mucha buena voluntad. De hecho, esa es la razón por la que uso un producto que no necesariamente es el mejor en todos los aspectos
    Cuando era FOSS, la afirmación audaz de ser “el gestor de contraseñas más confiable” tenía cierta justificación, pero si no es FOSS, ni siquiera dejando fuera a KeePass se sostiene en absoluto
    Aun ahora no estoy seguro de cómo ver a esta empresa. Tengo algo más de confianza en que la app seguirá siendo software libre, pero mi confianza en la empresa en sí bajó un poco, y todavía no he visto una comunicación oficial
    No veo cómo recibir una inversión de 100 millones de dólares puede ser bueno para los usuarios a largo plazo. El resultado más probable parece ser exceso de funciones o deterioro del servicio
    Bitwarden no parece fácil de bifurcar. Es un sistema complejo en C#, y aunque la existencia de Vaultwarden ayuda mucho, las apps cliente son otro problema
    Después del código abierto en sí, la posibilidad de hacer un fork es lo más importante como salvaguarda contra conductas hostiles hacia los usuarios. Aun así, espero que les vaya bien. Empecé a usar Bitwarden hace poco y, hasta ahora, la experiencia de usuario ha sido mucho mejor que con KeePass

    • Soy cautelosamente optimista, pero la dirección a largo plazo todavía me preocupa
    • No es tan bueno como que su carácter open source nunca hubiera sido puesto en duda desde el principio, pero también demuestra que, si los clientes se movilizan, están dispuestos a aceptar feedback y reconsiderar. También es una historia ya conocida
    • Hubo comunicación en GitHub o en canales oficiales. Claramente parece que el problema de dependencias se exageró
  • Gracias a Bitwarden por volver a cambiar esa parte a una licencia libre/abierta
    Dicho eso, ya no recomiendo Bitwarden a usuarios comunes. El gestor de contraseñas integrado de Firefox se volvió suficientemente bueno
    Aun así, siempre recomiendo Bitwarden a quienes necesitan funciones más avanzadas o no confían en los gestores de contraseñas integrados en los navegadores web. Agregar sincronización a KeePassXC es demasiado difícil para usuarios comunes

    • Los usuarios comunes muchas veces también necesitan un gestor de información secreta con un alcance más amplio que una herramienta que solo guarde URLs de sitios web y contraseñas
      Por ejemplo, necesitan un lugar en un almacén cifrado para guardar secretos que no son de sitios web, como respuestas a preguntas de seguridad, alias de correo relacionados o el PIN del celular de su pareja
      El gestor de contraseñas de Firefox es demasiado básico porque solo tiene dos campos: “nombre de usuario” y “contraseña”. Para un usuario común, una mejor experiencia no es guardar algunos secretos en Firefox y el resto en otra app, sino reunir todos los secretos en una sola app
    • Siempre sentí que los gestores de contraseñas basados en navegador ofrecen bastante poco valor para la mayoría de la gente
      Son incómodos de usar en móvil, dependen de la plataforma y es fácil perder datos locales que no se sincronizaron. Usarlos en varios dispositivos también es más complicado, especialmente en entornos laborales
      En cambio, la gente suele entender bien el modelo de instalar una app en cada dispositivo y dejar que esa app se encargue
    • Creo que si Mozilla lanzara una app de contraseñas independiente para administrar y acceder a contraseñas fuera de Firefox, sería más comparable con Bitwarden
      Entonces las contraseñas no serían solo una función de Firefox, sino parte de la cuenta Mozilla. Bitwarden sobresale en este punto, y se acerca al modelo que habría que superar
      Mozilla tendría la ventaja de que la integración con el navegador sería prácticamente una función de primera clase incluida por defecto, pero si no usas Firefox de forma exclusiva, es difícil ver a un solo navegador como el lugar adecuado para administrar contraseñas
      Me gusta que Bitwarden pueda mantener el acceso a las contraseñas en estado “bloqueado” incluso con el navegador abierto. La última vez que lo vi, Firefox pedía ingresar la contraseña maestra al iniciar aunque no necesitaras ninguna contraseña, y el solo hecho de que desbloquear la bóveda estuviera ligado al inicio del navegador ya era motivo suficiente para descartarlo
    • Me alegra que Bitwarden lo haya resuelto rápido. Al menos para mí, el gestor de contraseñas de Firefox no es un reemplazo
      Bitwarden está aprobado en mi empresa, permite autoalojamiento y admite inicios de sesión en muchísimas apps en navegadores y dispositivos móviles
      En general funciona bien tanto en apps móviles como en sitios web móviles y sitios del navegador. También puede guardar tarjetas de crédito, notas seguras, mayúsculas y minúsculas de respuestas a preguntas de seguridad, recuperación de cuentas e información de inicio de sesión, además de otra información arbitraria, así que es bastante bueno
    • Uso tanto Bitwarden como Firefox, pero recomendaría firmemente no usar el gestor de contraseñas de Firefox
      ¿Sabes que la sincronización de pestañas entre dispositivos de Firefox está rota? Se rompió desde el 24 de agosto y todavía no la arreglan https://bugzilla.mozilla.org/show_bug.cgi?id=1913795
      Si no pueden sincronizar ni pestañas entre dispositivos, me cuesta confiarles la sincronización de mis contraseñas
  • Me parece bien que Bitwarden haya corregido el rumbo aquí. No me entusiasmaba pasarme a otro gestor de contraseñas, así que estoy bastante satisfecho

    • Igual por acá. Soy suscriptor de Bitwarden, pero con el lío de la licencia últimamente estuve buscando alternativas
      Cambiar de gestor de contraseñas es una molestia, así que me alegra ya no sentir que tengo que mudarme sí o sí
  • Bitwarden sigue siendo excelente, pero habrá que observarlo durante los próximos años. Hay que recordar que Bitwarden empezó originalmente como una alternativa para evitar los movimientos raros de LastPass

    • Los movimientos raros de LastPass vienen de hace tiempo y, sinceramente, fueron graves
      Pero no sé por qué se enlazó este commit de Git. Preferiría ver la discusión relacionada https://github.com/bitwarden/clients/issues/11611
    • Todavía lo veo como esa alternativa. Sinceramente, incluso mejoró
      Como prueba, Bitwarden es el gestor de contraseñas que no recomiendan los YouTubers patrocinados, pero que los YouTubers no patrocinados siempre recomiendan
    • 1Password es software propietario, pero hasta donde sé todavía no ha tenido movimientos raros. Varias veces sentí la tentación de pasarme a una solución open source, pero creo que me quedaré aquí unos años más
  • Gracias a Bitwarden por escuchar. Este tipo de cosas también da esperanza para el modelo de negocio open source

  • Enlace relacionado: https://github.com/bitwarden/clients/issues/11611#issuecomme...
    Discusión anterior: https://news.ycombinator.com/item?id=41893994

    • Gracias. Me había perdido esta noticia y estaba batallando para entender el contexto leyendo varios comentarios
  • Creo que lo manejaron de una forma bastante efectiva y propia del open source. Me alegra que se haya resuelto sin trucos raros, y gracias a eso me ahorro la molestia de migrar desde Bitwarden

  • Todavía no está completamente resuelto. Algunas partes fueron relicenciadas, pero otras siguen bajo la licencia anterior del SDK de software no libre
    Ejemplo: https://github.com/bitwarden/sdk-internal/commit/db648d7ea85...

    • Las partes que no son GPLv3 parecen ser para Secrets Manager, que es un producto separado. No parece que ese producto se promocione como open source
      Bitwarden siempre fue open core, no GPLv3 por completo, y eso es entendible. Al final necesitan algo que vender
  • Hay que reconocer que se movieron en la dirección correcta. Durante varios días no estuvo nada claro qué iba a hacer Bitwarden

    • Si seguimos sospechando de entrada de esta manera, la próxima empresa ni siquiera lo va a intentar
      Es una de las pocas empresas que publica su producto como open source. Ahora mismo no es momento para seguir sospechando ni dar sermones
  • Es un cambio positivo. Aun así, queda la sensación de que intentan ser demasiado astutos con la licencia. En especial, la forma de combinar código GPL y código con licencia propietaria parece ser la causa de fondo de este lío
    El modelo open core encaja mejor en servicios alojados que no distribuyen artefactos que combinan GPL con código propietario. Hacer open core en código de cliente parece dejar demasiado margen para malentendidos y confusión
    Aun así, espero que salga bien. Es un buen producto