Pour gérer vos consentements :
Categories: LogicielsOpen Source

OpenTofu-HashiCorp : frictions autour de la licence BSL

HashiCorp a-t-il mal jugé la provenance d’une partie du code d’OpenTofu ? C’est ce que tentent de démontrer les principaux porteurs du projet, désormais que l’éditeur américain les a mis en demeure.

Dans les grandes lignes, HashiCorp dénonce :

– La réutilisation non conforme de code sous licence BSL
– La violation de sa propriété intellectuelle
– Le réétiquetage d’une partie du code concerné, de sorte qu’il parassait avoir été à l’origine sous licence MPL-2.0

Le code problématique a été publié en février 2024. Composé de cinq fichiers, il constitue le bloc « removed » d’OpenTofu. HashiCorp y voit une grande ressemblance avec du code « inédit » qu’il avait publié fin novembre sur le repo Terraform.

La mise en demeure, adressée le 3 avril, fait suite à des avertissements individuels effectués en 2023. Dont certains restés lettre morte, d’après HashiCorp. Aussi l’éditeur a-t-il accéléré ses démarches… en brandissant la menace d’une demande DMCA à GitHub.

OpenTofu vs Terraform : deux implémentations, une même source ?

Dans leur réponse du 9 avril, les porteurs d’OpenTofu excluent toute inconformité. HashiCorp a mal analysé la situation, prétendent-ils. Si les deux implémentations « removed » se ressemblent, ce n’est pas parce que l’une copie l’autre : c’est parce qu’elles ont la même source. En l’occurrence, un bloc « moved » issu de la version open source de Terraform. C’est-à-dire celle sous licence MPL, qui préexistait à la naissance d’OpenTofu*.

Analyse technique à l’appui, OpenTofu assure que son implémentation est fonctionnellement différente de celle de Terraform – en plus de contenir un plus grand éventail de tests. Et de suggérer à HashiCorp la mise en place de passerelles de contact entre développeurs.

* À l’été 2023, HashiCorp avait annoncé changer la licence de ses produits. Exit la MPL (Mozilla Public License), place à la BSL (Business Source License). Depuis lors, Terraform n’est plus open source. Idem pour Vault, qui a lui aussi fait l’objet d’un fork (OpenBao).

Illustration © Pavel Ignatov – Adobe Stock

Recent Posts

Loi SREN : le sort en est jeté pour les fournisseurs cloud

La loi SREN (sécuriser et réguler l'espace numérique) est promulguée. Sur le volet cloud, de…

3 heures ago

Le référentiel HDS s’imprègne de SecNumCloud

Mis à jour, le référentiel de certification HDS inclut une partie des exigences de souveraineté…

6 heures ago

SIEM : 6 fournisseurs dominent un marché qui se densifie

À un an et demi d'intervalle, les positions évoluent peu chez les « leaders »…

1 jour ago

Superalignment : quel est ce projet OpenAI abandonné par ses managers ?

Deux chercheurs de haut niveau, en charge du projet Superalignment, ont quitté OpenAI, quelques jours…

1 jour ago

Cybersécurité : Cyberark rachète Venafi

Le spécialiste israëlien de la gestion des identités Cyberark rachète Venafi, éditeur de solutions de…

1 jour ago

Rimini Street tend une perche aux clients VMware

Rimini Street étend officiellement ses services de support aux licences perpétuelles VMware.

1 jour ago