OpenTofu-HashiCorp : frictions autour de la licence BSL
Mis sous pression par HashiCorp, le projet OpenTofu se défend de toute appropriation illégale du code de Terraform.
HashiCorp a-t-il mal jugé la provenance d’une partie du code d’OpenTofu ? C’est ce que tentent de démontrer les principaux porteurs du projet, désormais que l’éditeur américain les a mis en demeure.
Dans les grandes lignes, HashiCorp dénonce :
– La réutilisation non conforme de code sous licence BSL
– La violation de sa propriété intellectuelle
– Le réétiquetage d’une partie du code concerné, de sorte qu’il parassait avoir été à l’origine sous licence MPL-2.0
Le code problématique a été publié en février 2024. Composé de cinq fichiers, il constitue le bloc « removed » d’OpenTofu. HashiCorp y voit une grande ressemblance avec du code « inédit » qu’il avait publié fin novembre sur le repo Terraform.
La mise en demeure, adressée le 3 avril, fait suite à des avertissements individuels effectués en 2023. Dont certains restés lettre morte, d’après HashiCorp. Aussi l’éditeur a-t-il accéléré ses démarches… en brandissant la menace d’une demande DMCA à GitHub.
Lire aussi : 3 mesures pour améliorer la sécurité des documents
OpenTofu vs Terraform : deux implémentations, une même source ?
Dans leur réponse du 9 avril, les porteurs d’OpenTofu excluent toute inconformité. HashiCorp a mal analysé la situation, prétendent-ils. Si les deux implémentations « removed » se ressemblent, ce n’est pas parce que l’une copie l’autre : c’est parce qu’elles ont la même source. En l’occurrence, un bloc « moved » issu de la version open source de Terraform. C’est-à-dire celle sous licence MPL, qui préexistait à la naissance d’OpenTofu*.
Analyse technique à l’appui, OpenTofu assure que son implémentation est fonctionnellement différente de celle de Terraform – en plus de contenir un plus grand éventail de tests. Et de suggérer à HashiCorp la mise en place de passerelles de contact entre développeurs.
* À l’été 2023, HashiCorp avait annoncé changer la licence de ses produits. Exit la MPL (Mozilla Public License), place à la BSL (Business Source License). Depuis lors, Terraform n’est plus open source. Idem pour Vault, qui a lui aussi fait l’objet d’un fork (OpenBao).
Lire aussi : Orange a violé la licence GPL : exposé des faits
Illustration © Pavel Ignatov – Adobe Stock
Sur le même thème
Voir tous les articles Open source