Rug pulls, forks y el feudalismo del código abierto

 (lwn.net)
11 puntos por GN⁺ 2025-09-08 | Aún no hay comentarios. | Compartir por WhatsApp
  • Un repaso de cómo funcionan las dinámicas de poder en el ecosistema open source entre empresas, desarrolladores y usuarios, y del impacto de tácticas como el rug pull (relicenciamiento) y el fork para alterar ese equilibrio
  • Mientras los grandes proveedores de nube ejercen una fuerte influencia, los proyectos centrados en una sola empresa pueden relicenciar para redistribuir el poder, y como respuesta aparecen los forks
  • El análisis de casos como Elasticsearch→OpenSearch, Terraform→OpenTofu, Redis→Valkey y Puppet→OpenVox muestra distintos patrones de reconfiguración de comunidades y movimiento de contribuidores
  • La adopción de CLA, el control de una sola empresa y el momento del traspaso a una fundación se señalan como señales de riesgo de rug pull, y se recomienda gobernanza neutral y ampliar la base de contribuciones multiinstitucionales como estrategia de respuesta
  • En conclusión, el relicenciamiento puede servir para contener a los proveedores de nube, pero también debilita el poder de los contribuidores, mientras que la posibilidad de un fork actúa como freno sobre la toma de decisiones empresariales

Estructura de poder en el open source, rug pulls y forks

  • En el ecosistema del software open source, grandes empresas, pymes, contribuidores y usuarios ejercen poder para influir en la dirección del software y en la estructura de ingresos
  • En particular, los grandes proveedores de nube han acumulado un poder considerable y tienden a imponerse sobre empresas pequeñas o comunidades
  • En este contexto, se producen desplazamientos de poder cuando la empresa desarrolladora o propietaria del proyecto cambia la licencia del software (rug pull) o, por el contrario, cuando la comunidad u otra empresa impulsa un fork

Panorama de las dinámicas de poder y las tácticas

  • En el mundo open source, los grandes proveedores de nube ejercen el mayor poder de canal y distribución, formando una estructura que explota a empresas pequeñas, contribuidores y usuarios
    • De forma similar al control de la tierra en el feudalismo, los proveedores de nube convierten el software open source en servicio y evitan contribuir
    • Las empresas pequeñas hacen la mayor parte del trabajo de desarrollo, pero quedan en desventaja porque los proveedores de nube aprovechan ese trabajo gratis
  • Como táctica de rug pull, las empresas pequeñas relicencian el software para responder a los proveedores de nube, pero esto termina perjudicando aún más a contribuidores y usuarios
    • Los proveedores de nube debilitan el poder de las empresas pequeñas al convertir el proyecto en servicio sin contribuir
    • El relicenciamiento perjudica a los usuarios, pero el fork permite reajustar el equilibrio de poder
  • En los proyectos liderados por una sola empresa, el riesgo de rug pull es alto, por lo que conviene evaluar la reputación de la compañía, aunque eso puede dejar de servir ante adquisiciones o quiebras
    • La presión de los inversionistas puede impulsar relicenciamientos para aumentar ingresos, sobre todo cuando se compite con proveedores de nube
    • Al usar licencias más restrictivas, se busca dificultar que terceros moneticen el software y así desplazar el poder
  • La creación de forks tras un rug pull es una forma de acción colectiva rebelde para recuperar poder, pero el riesgo de fracaso es alto por falta de personal y recursos
    • Las grandes empresas o proveedores de nube pueden apoyar forks con sus recursos, pero un fork popular no siempre tiene éxito
    • Hay casos como MongoDB o Sentry donde no surgió un fork; en Puppet, la adquisición por parte de Perforce y el cierre del desarrollo provocaron el fork de OpenVox

Comparación de casos principales

Dawn Foster analiza con datos varios casos de rug pulls, forks y sus efectos posteriores. (Se publicaron parcialmente los resultados a través de un dataset en Jupyter Notebook)

  • Elasticsearch → OpenSearch
    • En 2021, tras el relicenciamiento a SSPL de Elastic, AWS organizó el fork OpenSearch
    • En Elastic, la proporción de contribuidores internos casi no cambió antes y después del fork; en OpenSearch se mantuvo un patrón de contribuciones lideradas por Amazon
    • El análisis indica que incluso después del traspaso a la Linux Foundation en 2024 no se observó un aumento fuerte de contribuciones externas
  • Terraform → OpenTofu
    • En 2023, justo después del cambio a BSL por parte de HashiCorp, OpenTofu nació bajo la Linux Foundation
    • Terraform siguió manteniendo contribuciones centradas en personal interno, mientras que OpenTofu recibió rápidamente nuevos contribuidores de varias empresas
    • Este caso sugiere que un fork impulsado por usuarios + el nacimiento bajo una fundación neutral favoreció la formación de una comunidad activa
  • Redis → Valkey
    • En 2024, justo después del cambio a SSPL de Redis, muchos de los contribuidores externos existentes se movieron a Valkey
    • Redis era un caso excepcional porque antes del fork tenía una alta proporción de contribuciones externas; después del fork cayó abruptamente a 0 contribuciones externas, mientras que Valkey arrancó como una comunidad aliada de múltiples empresas
  • Puppet → OpenVox
    • Tras la adquisición por Perforce (2022), hubo cierre del desarrollo y de los lanzamientos y una reducción en la frecuencia de releases; en respuesta, la comunidad impulsó el fork OpenVox

Observaciones de datos y métricas

  • Después de un rug pull, suele observarse un aumento brusco en la cantidad de forks en GitHub, lo que se interpreta como una señal proxy de movimientos para evaluar un hard fork
    • A largo plazo, el original y el fork tienden a avanzar en paralelo, pero el análisis observa que el original relicenciado tiende a perder uso
  • Nacer bajo el paraguas de una fundación ayuda a atraer contribuciones en la etapa inicial de un proyecto nuevo, pero traspasarlo después puede tener un efecto limitado
    • El caso de OpenSearch sugiere que el simple traspaso no garantiza un aumento fuerte de contribuciones externas

Señales de riesgo y lineamientos

  • El uso de CLA (Contributor License Agreement) es una señal de concentración del poder de relicenciamiento en manos de la empresa, lo que amplía el desequilibrio de poder
    • Los proyectos basados en DCO (Developers Certificate of Origin) tienden a tener un menor riesgo de rug pull
  • Hace falta revisar la gobernanza, y el control de una sola empresa junto con la concentración del liderazgo son factores de riesgo
    • Los proyectos con fundación neutral, liderazgo multiinstitucional y base de contribuciones externas están mejor posicionados en términos de sostenibilidad
  • La amplitud y profundidad de la base de contribuidores también es un criterio clave de evaluación
    • Las empresas deben fortalecer al mismo tiempo su influencia y la sostenibilidad de los proyectos de los que dependen enviando contribuidores propios
    • Las métricas y guías para practitioners de CHAOSS pueden usarse para diagnosticar y mejorar la salud de un proyecto

Propuestas sobre comunidad y gobernanza

  • Promover una gobernanza neutral y ampliar la participación de contribuidores externos es una medida real para frenar los rug pulls
    • La posibilidad de un fork por sí misma eleva el costo de decidir un relicenciamiento para una empresa y actúa como mecanismo de disuasión
  • Ante la pregunta de Hazel Weakly sobre mecanismos de protección, la ponente mencionó los éxitos de Valkey y OpenTofu como casos reales que llevaron a reconsiderar relicenciamientos
    • Dirk Hohndel subrayó que atraer más contribuidores externos aumenta el riesgo de rug pull y eleva el riesgo para la decisión gerencial

Conclusión

  • A medida que crece la influencia de los grandes proveedores de nube, el ecosistema open source se está volviendo cada vez más feudal
  • Cambiar la licencia sirve para contener el poder de los proveedores de nube, pero en el proceso trae el efecto secundario de reducir el poder de los contribuidores de la comunidad
  • Sin embargo, para contribuidores y usuarios existe el fork como herramienta de respuesta, una fuerza propia del open source que lo diferencia del feudalismo histórico
  • La posibilidad real de un fork influye en futuras decisiones de política empresarial y, de hecho, inspiradas por los casos exitosos de Valkey y OpenTofu, algunas empresas han retirado planes de rug pull
  • En última instancia, la neutralidad de la gobernanza del proyecto y la activación de contribuidores externos son la clave para prevenir rug pulls y mantener un ecosistema saludable

Material de referencia

Lecturas relacionadas

Aún no hay comentarios.

Aún no hay comentarios.