Eerder in juli werd een update privacybeleid voor audio-editor Audacity veroorzaakte opschudding onder communityleden, die onnodige telemetrie noemden. Moederbedrijf Muse Group beloofde het tegendeel, maar heeft nu schijnbaar leg telemetrie weer op tafel samen met enkele licentieproblemen.
De gemeenschap van Audacity maakt zich zorgen over het beleid, aangezien de open-sourcesoftware nooit een internetverbinding nodig heeft gehad sinds deze voor het eerst werd uitgebracht. Muse Group‘s plotselinge toevoeging van details over het verzamelen van gegevens (en het delen van gegevens) aan haar privacybeleid was begrijpelijkerwijs zorgwekkend.
De beleidsupdate staat dat Muse Group een verscheidenheid aan gegevens zou verzamelen; waarvan de meeste alledaags zijn, zoals crashrapporten, niet-fatale foutcodes, gebruikerscomputerinformatie en geografische locatie, maar sommige opgetrokken wenkbrauwen, zoals”gegevens die nodig zijn voor verzoeken van wetshandhaving en autoriteiten (indien aanwezig).”Het voegde er ook aan toe dat de software”niet bedoeld is voor personen onder de 13 jaar”en verzocht mensen onder die leeftijd”de app niet te gebruiken”. Hoewel die leeftijd misschien willekeurig lijkt, is het dat niet; 13 is de leeftijd waaronder een bedrijf te maken krijgt met verschillende internationale wetten en beperkingen voor het verzamelen van gegevens over kinderen.
Het in Rusland gevestigde bedrijf heeft ook een schokkende nieuwe Contributor License Agreement (CLA) op de GitHub-pagina van Audacity geplaatst. Daarin legde Daniel Ray, hoofd Strategie van Muse Group, uit dat alle toekomstige en vroegere bijdragers aan de overeenkomst gebonden zijn; dit geeft het bedrijf volledige rechten en controle over de ingebrachte code (inclusief hoe deze wordt of kan worden gebruikt). In de overeenkomst staat dat”bijdragers het auteursrecht op hun code behouden en vrij zijn om deze te gebruiken zoals ze willen”, maar ook dat ze geen inspraak hebben in code die al is samengevoegd met Audacity.
Waarom de cao implementeren, vraagt u zich af? Muse Group is van plan de software opnieuw in licentie te geven en deze te verplaatsen van GPLv2 naar GPLv3, wat zou het openstellen voor een grotere verscheidenheid aan technologieën en bibliotheken waarin het bedrijf is geïnteresseerd. Voor de goede orde, het bezit verschillende populaire muziekgerichte applicaties, zoals Ultimate Guitar, MuseScore, StaffPad, Tonebridge en MuseClass.
De CLA en het opnieuw verlenen van licenties zijn allemaal prima en dandy (en zeker niet ongehoord in de open-sourcegemeenschap) en beide zouden waarschijnlijk min of meer goed gaan met gebruikers, maar het probleem ligt in het feit dat Ray zei het bedrijf kan besluiten om de code dubbel te licentiëren. Dit zou Muse Group mogelijk in staat kunnen stellen een aparte versie van Audacity uit te brengen onder een andere licentie. Ray noemde herdistributievereisten van leveranciers (bijvoorbeeld voor de App Store van Apple) als reden waarom deze clausule nodig is, maar de verklaring is nogal vaag en kan andere implicaties hebben.
De nieuwe CAO stelt ook dat Muse Group bijdragecode kan gebruiken in andere closed-source producten”om de voortdurende ontwikkeling van Audacity te ondersteunen.”Hoewel het bedrijf dit al doet met zijn eigen code, “staat de CAO ons toe om dit ook te doen met de code van onze bijdragers. Dit is nodig omdat communitycode en interne code vaak vermengd raken op manieren die later moeilijk te scheiden zijn … We kunnen niet toestaan dat het feit dat we bijdragen van de community accepteren een nadeel wordt dat ons ervan weerhoudt onze code in andere producten te gebruiken.”
Gezien het open-source karakter van Audacity, is het gemakkelijk in te zien waarom de CLA zo’n rimpeling heeft veroorzaakt binnen de gemeenschap. Talloze mensen hebben in de loop der jaren bijgedragen aan de code van de software, en het zou waarschijnlijk een enorme onderneming zijn om ze allemaal te laten ondertekenen voor deze wijzigingen. In antwoord op een opmerking waarin dergelijke zorgen werden geuit op de CLA-blogpost, Ray benadrukte echter dat Muse Groep zou alleen grote bijdragers nodig hebben om zich af te melden. Triviale commits (enkele inzendingen met slechts een paar regels code) zouden eenvoudigweg worden herschreven, zodat het bedrijf niet alle oorspronkelijke auteurs hoeft op te sporen en ze ook te laten ondertekenen.
Ray verklaarde dat het oorspronkelijke privacybeleid dat werd vrijgegeven een verkeerd concept was en alle verwarring en spyware beschuldigingen waren”grotendeels te wijten aan onduidelijke bewoordingen in het privacybeleid, dat we nu aan het corrigeren zijn.”Hij voegde er ook wat meer uitleg over toe en zei dat Audacity versie 3.0.3 alleen gegevens verzamelt zoals het IP-adres van de gebruiker, basisinformatie over de computer van de gebruiker en optionele foutrapporten. Hij nam ook maatregelen om ervoor te zorgen dat gebruikers geen gegevens verzamelen voor wetshandhavingsdoeleinden en dat gebruikers het programma offline kunnen uitvoeren om het beleid ronduit te omzeilen.
Dit is allemaal veel om te verwerken, en het is geen wonder dat veel oude Audacity-bijdragers en gebruikers zich gekleineerd voelen en/of zich zorgen maken over de toekomst van de software. De intrekking van het oorspronkelijke privacybeleid van Muse Group na de terugslag-en de daaropvolgende terugval en het labelen als een verkeerd concept-leest nog steeds verdacht en zal moeilijk over het hoofd te zien zijn.
Het is niet verrassend dat sommige gebruikers de software al hebben geforkt in een nieuw project, genaamd (passend) Tenacity. Hoewel er geen garantie is dat het project zal overleven of de voorkeur zal krijgen boven de Muse-versie (of andere alternatieve programma’s ), hangt het lot van die versie van de software nog in de lucht. Nu maar hopen dat hij op de een of andere manier op zijn pootjes terechtkomt.
via Hackaday
