Le cas contre Rocky Linux

Cher lecteur, veuillez noter que cet article a été rédigé de manière anonyme, car je suis une personne profondément ancrée dans l'écosystème Enterprise Linux. Je sais que « anonyme » est un grand mot, et si quelqu'un veut identifier l'auteur, il le peut.

Je suis contre les modifications apportées à la redistribution du code RHEL, et je pense que Red Hat est autant un « freeloader » sur l'open source que n'importe quelle autre entreprise sur le code RHEL. Cependant, j'aimerais partager mes raisons personnelles pour lesquelles je n'installerai jamais Rocky Linux sur mes serveurs.

Dans cet article, je voudrais vous montrer quelques histoires, méfaits et mauvaises pratiques et pourquoi tant de gens n'aiment pas Rocky Linux. Je veux également montrer que les choses sont un peu plus compliquées que ne le pensent la plupart des utilisateurs de Linux.

Histoire 0 : « Le fondateur original de CentOS

Le personnage central du procès contre Rocky Linux est Gregory Kurtzer. Il est pour beaucoup de gens le héros de la reconstruction du monde RHEL. Beaucoup pensent qu'il est le père de CentOS, et Rocky est/restera son enfant bien-aimé et, plus important encore, libre.

Le terme « le fondateur original de CentOS » vient de Kurtzer lui-même et a été répandu comme une traînée de poudre par les sociétés de relations publiques (plus d'informations sur les pratiques de relations publiques illégales, dans la plupart des pays, et louches plus tard). Le seul problème avec cette affirmation est que, de l’avis de beaucoup, dont moi-même, elle n’est pas vraie.

Mes doutes personnels à propos de Rocky Linux venaient précisément de ce point, car un de mes collègues beaucoup plus âgés a déclaré que ce n'était "pas tout à fait vrai" (il a utilisé une expression "un peu" plus forte). Je voudrais présenter quelques faits fondamentaux mais importants :

• Les reconstructions ont démarré sur la liste de diffusion des reconstructions RHEL.
• Le nom CentOS a été annoncé par Rocky McGaugh.
• Kurtzer n'était pas intéressé par la création d'un clone de Red Hat Enterprise Linux (puis Red Hat Linux).
• L'idée de créer une véritable distribution à partir de RHEL n'était pas de lui et avait été évoquée bien plus tôt.
• Eh bien, vous pouvez en lire un peu plus sur HN. Et c'est écrit par une personne assez célèbre dans le monde Linux :)

Alors pourquoi Gregory Kurtzer dit-il qu'il est le « fondateur original de CentOS ? » Principalement parce qu'il a créé la Chaos Foundation, qui a repris les efforts de reconstruction sous un nom commun.

[1] https://www.mail-archive.com/[email protected]/msg07038.html

[2] https://web.archive.org/web/20040630213827/http://www.caosity.org/pipermail/caos/2003-December/001205.html

[3] https://web.archive.org/web/20040824032738/http://www.caosity.org/pipermail/caos/2003-July/000701.html - Gregory Kurtzer n'était pas intéressé par la construction d'un clone RHEL

[4] https://www.mail-archive.com/[email protected]/msg00022.html - Idée de créer une distribution seule

[5] https://news.ycombinator.com/item?id=33907452

Histoire 1 : Le départ

L'une des principales idées fausses à propos de Gregory est qu'il a quitté CentOS alors qu'en fait, CentOS a quitté sa fondation. Les responsables du développement de CentOS ne voulaient pas faire partie du projet de Gregory. À ce jour, certains membres de la « vieille garde » de CentOS ne sont pas « dans les meilleurs termes » avec lui.

15 ans plus tard, le PDG du CIQ est bien plus intelligent – mais malheureusement dans un très mauvais sens pour la communauté open source. Ainsi, lorsque vous lisez des articles comme "Ce qui est arrivé à CentOS n'arrivera pas à Rocky Linux", je pense personnellement non seulement aux mauvais changements apportés au cycle de vie, mais aussi au fait que CentOS a pu quitter la Fondation Gregory, mais Rocky Linux ne peut pas .

D'une manière générale, la personne en question en possède elle-même quelques versions ; mon préféré a été présenté par lui-même dans le podcast Changelog :

 I was associated with it until Red Hat sued me.

Et puis il dit :

 It wasn't a lawsuit, it was a threaten of a lawsuit, which was enough in my book to do it.

[1] https://lists.centos.org/pipermail/centos-devel/2005-March/077502.html [2] https://www.reddit.com/r/CentOS/comments/s77p49/comment/ht9v86o / [3] https://changelog.com/podcast/427#transcript-87

Histoire 2 - Fondation.

Vous savez donc peut-être que Rocky Linux fait partie de RESF - Rocky Enterprise Software Foundation. Mais si vous êtes familier avec les « fondations », en particulier les « fondations » basées aux États-Unis, vous savez que beaucoup d'entre elles sont brisées par leur conception. La Rocky Linux Foundation a été vaguement promise comme une organisation à but non lucratif. Mais ce n'est pas le cas. à but lucratif, et elle a un seul propriétaire (Gregory Kurtzer).

Mais il y a bien plus que de la poudre aux yeux que RESF fait. Comme vous le savez peut-être, ils ont une gouvernance et des statuts. Alors regardez-les et comptez combien de personnes dans cette gouvernance ne sont pas employées ou liées au CIQ. D'ailleurs, la fondation a enfreint ses propres statuts en n'ayant pas une gouvernance diversifiée :). Je ne vais pas relire les statuts pour voir s'ils le font toujours, mais si vous les trouvez, n'hésitez pas à commenter. N'oubliez pas non plus de lire les anciens statuts et les anciennes pages sur les pages depuis qu'elles ont été modifiées.

Toute cette histoire est forte dans les médias et les relations publiques. Prenez, par exemple, l'article d'ITWorld Canada de 2022

Dans littéralement le même paragraphe, vous avez les phrases suivantes :

 The key for an open source initiative to grow and flourish, Kurtzer said, is to is to register it as a non-profit organisation, which is what the cAos Foundation. He did the same with Rocky Linux.

Et puis:

 The Rocky Enterprise Software Foundation (RESF) is a Public Benefit Corporation (PBC).

Voyez-vous le « petit » problème ici ? Je n'aime pas qu'on me mente. Et je n’aime pas qu’on mente aux gens, surtout quand il s’agit d’un mensonge aussi primitif, littéralement dans le même paragraphe.

[1] https://www.zdnet.com/article/rocky-linux-foundation-launches/ Regardez le langage manipulateur utilisé dans cet article

[2] https://www.resf.org/about

[3] https://www.reddit.com/r/linuxadmin/comments/15p1gbt/comment/jvyat0h

[4] https://www.itworldcanada.com/article/what-happened-with-centos-will-not-happen-with-rocky-linux-kurtzer/501239

Histoire 3 – Propriété de la marque.

Comme je l'ai dit, vous êtes-vous déjà demandé pourquoi CentOS pourrait quitter la Fondation Greg ? Eh bien, l’une des principales raisons était qu’il n’y avait pas de propriété claire des marques/domaines.

Malheureusement, pour la communauté open source, ce n'est pas le cas avec RESF et Rocky Linux. Comme je l'ai déjà dit, RESF a un seul propriétaire et le projet Rocky Linux n'a pas ses propres marques. Rocky Linux, en tant que projet individuel, s'il tente de quitter RESF, ne peut pas utiliser son nom, son logo et ses autres marques sans l'autorisation du propriétaire de RESF. Alors bonne chance.

Ainsi, avec CIQ/RESF qui exploite Rocky Linux, le projet ne peut en aucun cas devenir indépendant. Ce n'est pas un projet communautaire, c'est un projet d'entreprise.

À partir de maintenant, j’utiliserai les arguments contre CIQ/RESF/RL de manière interchangeable.

[1] https://www.zdnet.com/article/goodbye-centos-hello-rocky-linux/

[2] https://www.reddit.com/r/AlmaLinux/comments/15dr141/giving_rebuilders_a_bad_name_ciq_and_ansible/

[3] https://www.reddit.com/r/linuxadmin/comments/15p1gbt/comment/jw90zhc

Histoire 4 Acheter de la publicité pour des projets open source appartenant à la communauté

Nous en sommes aux premiers jours et RL est en train de perdre face à AlmaLinux. AlmaLinux est la première, et c'est une fondation à but non lucratif et gouvernée de manière diversifiée. Alors, que fait le CIQ ? Ils achètent des publicités contre plusieurs distributions Linux, dont AlmaLinux et CentOS.

Est-ce légal ? Oui c'est le cas!

Est-ce quelque chose dont les « organisations à but non lucratif auto-imposées » (ce terme est une plaisanterie) bénéficieraient ? OUI!

Est-ce ce que ferait la communauté open source ? NON!

Acheter des publicités pour des projets open source à but non lucratif appartenant à la communauté, tout en prétendant en créer un, est contraire à l'esprit général de l'open source. Bien sûr, Rocky Linux n'a pas acheté ces publicités, CIQ l'a fait, et ils l'ont fait par bonté de cœur.

[1] https://twitter.com/ChrisLAS/status/1460668344156114944

[2] https://twitter.com/ChrisLAS/status/1420123460982894599

[3] https://www.reddit.com/r/linux/comments/qv6mg2/comment/hkw046b/

Histoire 5 PR sans divulgation

Dans de nombreux cas, les CIQ/RESF/RL font appel à des agences de relations publiques pour faire connaître leur entreprise. Parfois, ils sponsorisent même des influenceurs Linux, et ils ont tendance à omettre certains faits :) (comme CentOS quittant l'ancienne Fondation Kurtzer ou RESF étant une entreprise à but lucratif appartenant à une seule personne). Quoi qu'il en soit, certains PR ont tendance à ne pas mentionner le conflit d'intérêts évident et le fait que l'article est sponsorisé.

Et comme il est très difficile, voire impossible, de vérifier la source du PR, il est très difficile de dire si l'article est sponsorisé ou non s'il n'est pas étiqueté. Dans mon pays et dans de nombreux pays de l'UE, c'est illégal. Même aux États-Unis, ce n'est pas un problème juridique ; cela montre une éthique et une moralité médiocres :

• Écrivain
• Entreprise de relations publiques
• Éditeur
• L'entreprise qui l'a sponsorisé

Comme je l'ai dit, il est extrêmement difficile de prendre quelqu'un en flagrant délit. Cependant, dans le cas de RL et CIQ, il est devenu assez connu dans la communauté Linux.

[1] https://twitter.com/GordonMessmer/status/1675997483573612546

Histoire 6 Répandre le FUD

L'un des plus gros dommages causés à CentOS Stream a été le FUD diffusé par CIQ et d'autres. Le point principal est que CentOS Stream n’est pas stable et ne sera jamais prêt pour la production. En tant que personne qui compare régulièrement les packages et les distributions, je peux dire ceci :

• CentOS Stream est stable et, à bien des égards, encore meilleur que RHEL, ce qui signifie qu'il est encore meilleur que les clones.
• Le nombre d'ingénieurs travaillant sur CentOS Stream est supérieur à celui de tout autre clone RHEL.
• La quantité de tests effectués sur CentOS Stream est bien supérieure à celle de tout autre clone RHEL.
• Le CentOS Stream donne aux utilisateurs un réel pouvoir pour corriger les bugs et influencer l'avenir de la distribution.

• 
  

Il y a également eu beaucoup de FUD diffusés à propos d'AlmaLinux. AlmaLinux a pris des « raccourcis », notamment en ce qui concerne le gestionnaire d'abonnements. Si vous connaissez Subscription Manager, vous savez qu'il est conçu pour se connecter à l'infrastructure Red Hat et que les clones Enterprise Linux ne l'installent pas par défaut. Donc, ne pas l'inclure dans AlmaLinux n'est pas un mauvais raccourci mais une bonne décision. Plus tard, il a été ajouté car il pourrait également fonctionner avec Foreman/Katello/Candlepin. L'ensemble "AlmaLinux prend des raccourcis" était FUD dans sa forme la plus pure.

Malheureusement, je ne trouve pas la source de ce guichet automatique, mais je l'ai vu et je suis sûr qu'un des lecteurs pourra l'ajouter dans la section commentaires.

D'autres FUD populaires se sont répandus sur AlmaLinux, même si je n'ai pas trouvé d'employés du CIQ le disant publiquement :

• AlmaLinux utilise l'infrastructure CloudLinux (ils l'ont utilisé pendant la phase de démarrage, et c'était très connu)
• AlmaLinux est contrôlé par des Russes (celui-ci devient fort après l'attaque de Putler sur l'Ukraine).
• CloudLinux contrôle AlmaLinux (pas que le PDG de CloudLinux ait littéralement démissionné de la fondation ; de plus, AlmaLinux a un conseil d'administration beaucoup plus sain que RESF)

Histoire 7 Être de putains d'hypocrites

Alors, vous vous souvenez de tout ce drame de Red Hat sur les sources GPL payantes ? Quand Red Hat était-il un « cancer » sur l’open source ? Et les utilisateurs étaient des « freeloaders » ? L'une des personnes qui en a parlé très clairement était Gregory Kurtzer :). Peu importe la raison de tous ces cris :

• "Rocky va fort."
• "Protégez la communauté."
• "Protégez l'open source."

Ou un joli PR de RESF :

 “I believe that open source should always be freely available and completely stable. It should never be hidden behind a paywall, nor should it be controlled by a single company,” states Gregory Kurtzer, founder of the Rocky Linux project and chair of the board of the Rocky Enterprise Software Foundation,

Et d’autres grands mots qui ne valent pas la peine d’être prononcés car lorsqu’il s’agit d’action réelle, ils ne sont pas là. Pire encore, ils font les mêmes choses, voire des choses plus restrictives, que Red Hat.

Désormais, CIQ redonne à la communauté en plaçant un paywall autour des sources de CIQ Rocky Linux 8.8 :

 Restrictions. The license granted in this Section 3 is conditioned upon Customer's and its Authorized Users' compliance with this Agreement. Customer shall not and shall ensure its Authorized Users do not: (i) permit any third party to use or access the Software (except for the Authorized Users as permitted herein); (ii) install the Software on more than the number of Licensed Hosts permitted under the applicable Order; (iii) share access to the Software (including log in information or notifications) with anyone who is not intended to be an Authorized User; (iv) provide, license, sublicense, sell, resell, rent, lease, share, lend, or otherwise transfer or make available the Software to any third parties, except as expressly permitted by Ctrl IQ in writing; (v) except with respect to any access to Software that is licensed under an open source license, modify, copy or create derivative works based on any content accessed through the Software; (vi) except with respect to any Software that is licensed under an open source license, disassemble, reverse engineer, decompile or otherwise seek access to the source code of the Software; (vii) access the Software in order to build a competitive product or services; (viii) remove, delete, alter, or obscure any copyright, trademark, patent, or other notice of intellectual property or documentation, including any copy thereof; (ix) transmit unlawful, infringing or harmful data or code to or from; or (x) otherwise use the Software except as expressly permitted hereunder

Il y a plus. Ils ont reconstruit d'autres produits RH Red Hat Ansible Tower (ou quel que soit leur nom, ATM). Ils l'ont rendu source fermée. Puis, après que la communauté a commencé à remarquer qu'il devrait être open source, après deux semaines, ils ont décidé de publier le code.

Voilà donc tout lorsqu’il s’agit de héros open source et de redonner à la communauté.

[1] https://www.reddit.com/r/AlmaLinux/comments/1aurwrr/comment/kri9xpc/

[2] https://www.reddit.com/r/AlmaLinux/comments/15dr141/comment/ju3t9mv/

Histoire 8 Contenu emprunté - erratas

Donc les CIQ/RESF/RL utilisent du contenu Red Hat, c'est une évidence. Cependant, vous devez vous rappeler que les composants ont des licences différentes. Ainsi, si vous utilisez le code source, la licence la plus importante et, dans de nombreux cas, la seule, est celle qui se trouve dans le code source. Si vous utilisez le portail ou le support Red Hat, le nouveau CLUF restrictif s'applique. Si vous utilisez des errata Red Hat, le texte et le contenu des errata sont protégés. C'est pourquoi certains fournisseurs proposent des informations d'errata plutôt vides, dont une générée pour CentOS. Comme les parties les plus importantes des erratas sont :

• Liste des forfaits
• Numéros CVE (pour les errata de sécurité)

Le texte n'est pas très utile ; vous devriez probablement lire le CVE de toute façon, mais certains projets ne peuvent pas s'aider eux-mêmes et ne peuvent pas être utilisés sans aucune considération.

Jetez un œil à https://errata.rockylinux.org/RLSA-2023:6818 où vous pourrez en savoir plus :

 Rocky Enterprise Software Foundation Satellite is a systems management tool for Linux-based systems.

Vous pouvez également trouver d’autres exemples tels que :

 Rocky Enterprise Software Foundation Identity Management (IdM)

ou

 Rocky Enterprise Software Foundation Entitlement Platform.

Est-ce légal ? Je ne sais pas. Demandez à un avocat. Est-ce éthique ? Non.

Histoire 9 Tuer l'Open Source - CIQ contre Sylabs

Fin août 2023, la nouvelle d’un procès contre le CIQ a éclaté. Notez que si j'ai raison, c'est toujours en cours. Mais pour le moment, le tribunal "REJETTE toutes les réclamations de Sylabs AVEC AUTORISATION DE MODIFICATION".

Je ne suis pas avocat, mais je suis ingénieur. Un ingénieur open source qui a entendu à maintes reprises « nous ne l’ouvrirons pas parce que cela pourrait nuire à notre entreprise » ou « cela nous rend vulnérables ». Et je n’ai jamais aimé ça, mais en vieillissant et en voyant des gens comme Gregory Kurtzer, j’ai commencé à comprendre.

Ce qu'a fait Gregory est le pire des cas pour toute entreprise essayant de créer des projets open source.

• Une entreprise emploie Kurtzer en tant que CTO.
• Cette société fabrique des logiciels essentiels à sa survie et à son expansion, comme n'importe quel éditeur de logiciels.
• Gregory était CTO lorsque l'entreprise a décidé d'ouvrir ses actifs critiques en open source. (mars 2020).
• Gregory quitte l'entreprise avec un savoir-faire comprenant les clients, les composants internes du système, les utilisateurs et les contacts. Il était cadre supérieur. Il sait littéralement tout.
• Kurtzer a créé une nouvelle entreprise, a participé à l'équipe de développement et l'a utilisée contre l'ancienne entreprise.
• Kurtzer profite de l'ancien code d'entreprise qui était open source à l'époque où il était CTO.

En réalisant ce genre de coup, on tue l’open source. Tuer la confiance dans les entreprises open source. Tuer la confiance dans les développeurs open source. Vous travaillez avec des personnes en qui vous avez confiance et vous ne vous attendez jamais à ce qu’elles soient votre ennemi le lendemain. Cela laisse un mauvais goût dans la bouche difficile à décrire.

Finalement, je me fiche de l'avenir de Sylab. Je me fiche du CIQ et je me fiche de savoir qui a légalement raison. Je me soucie de l’avenir de l’open source. Et ce genre de pratique est une blessure mortelle pour l’open source et les logiciels libres.

[1] https://www.theregister.com/2023/08/24/lawsuit_claims_ciq_was_founded/

[2] https://storage.courtlistener.com/recap/gov.uscourts.cand.408847/gov.uscourts.cand.408847.59.0.pdf

[3] https://www.courtlistener.com/docket/66863695/sylabs-inc-v-rose/

Autres histoires

Il y a d'autres histoires, comme pourquoi l'EPEL a arrêté de faire des analyses count_me pendant un certain temps et pourquoi personne ne les prend plus au sérieux. Ou encore de certaines personnes clés travaillant officiellement dans des institutions publiques et travaillant de facto pour une fondation à but lucratif. Mais je pense que les plus importants sont couverts. Certaines de ces histoires ne sont connues que d’un petit cercle de personnes qui assistent à la conférence et se connaissent. Personnellement, j’en ai laissé de côté certains car cela indiquerait littéralement qui je suis ou où je travaille.

Résumé

Lorsque Red Hat a « acheté » le projet CentOS, de nombreux signaux d’alarme ont été émis. Nous savons tous comment cela s'est terminé. Red Hat était alors, et est encore pour beaucoup, le champion de l’open source. RESF/CIQ/RL n’a jamais été là et ne le sera jamais avec son bilan malodorant actuel. Et le nombre de signaux d’alarme à leur sujet est de loin plus élevé qu’il ne l’a jamais été avec Red Hat.

Si vous lisez ceci et installez Rocky Linux, vous n'êtes pas seulement un imbécile, mais un dangereux imbécile. L'idiot qui aime qu'on lui mente. L’imbécile qui est incapable de comprendre la situation dans son ensemble.

J'ai également omis la partie technique du CIQ/RESF/RL. Peut-être que je reviendrai sur ce sujet.

Dans le prochain article, je couvrirai la blague appelée OpenELA.