Open source: pubblicare o non pubblicare sorgenti di un'app android

[SoulEdge]

Ciao a tutti,

so già la vostra risposta ma scrivo per aprire un confronto o una discussione.
Premetto che di lavoro faccio tutt'altro e la programmazione è solo un grande hobby.
Programmo perchè mi piace, ma in modo molto base e con modus pensandi di 10 anni fa, quando imparai-.

Due anni fa ho scritto un'app (anzi, a dire il vero due) android che si interfaccia su un server PHP (hostato su altervista) tramite JSON e scambia informazioni con la piattaforma che poi vengono salvati - anche di una certa importanza dell'utente, come email, farmaci usati, peso etc. Non è molto famosa ma a mio avviso è ben disegnata e con tante funzioni ordinate, poi è l'unica che supporta la funzione cloud della categoria (almeno, al tempo era cos' )

Libero dal lavoro e con la quarantena, mi son ricordato di quest'app, e mi son venute in mente varie idee per continuarne lo sviluppo. Tra cui anche renderla opensource e caricarla su GitHub; la speranza che la mia bambina diventi "famosa" è sempre l'ultima a morire, capite come può guardarla il padre . Senza contare che potrebbe rilanciarne il nome.

Son cosciente che eventuale codice rilasciato presenterà importanti falle, non solo del codice, ma che potrebbere mettere in evidenza falle del server in PHP con importanti ripercussioni sui dati e sulla salute dell'app.

Nel caso peggiore mi ritroverei a staccare definitivamente la spina, spegnere tutto, toglierla dal market, disattivare il file principale del server PHP.

Saperla però online ed il ricordo di quando l'ho programmata, con passione e divertimento però mi rende "orgoglioso", e saperla definitivamente nel cassetto invece che online mi renderebbe "triste".

So che urlerete in coro "subito opensource!", ma capite i dubbi di un neofita in materia, soprattutto per quel che riguarda la sicurezza.

Grazie per essere arrivati a leggere fino a qui

PS: auguri di Buona Pasqua a tutto il forum! Vi assicuro che l'idea di far rinascere l'app nel mondo open source non è assolutamente derivante dalla Pasqua

[Zombie17]

Se qualcuno fa il pirla sei chiamato a prenderti delle responsabilità in prima persona.

Io al tuo posto prima di rendere pubblico il codice chiuderei tutto se non fossi certo di essere a prova di bomba con un plico di revisioni che me lo confermano alto almeno quanto un pastore tedesco

[SoulEdge]

Ciao zombie17, era la mia preoccupazione. Certo al 100% sia a prova di bomba non lo sono, anzi tenendo conto che non sono un programmatore professionista dubito lo sia...
Ma le revisioni se non è pubblico e nessuno da uno sguardo al codice oltre me sono difficili da ottenere

Pubblicare cambiando i riferimenti all'indirizzo del framework php potrebbe essere un'idea secondo te?

[Zombie17]

Non so dirti cosa dovresti fare tu, posso solo dirti che io pubblicherei senza mettermi nella condizione di gestire dati altrui.

[woddy68]

Quindi, ad esempio Ubuntu potrebbe essere chiamato in responsabilità a causa di un grave bug di sicurezza ? Non credo proprio !
Anche Ubuntu, come tutto il software è rilasciato con tanto di licenza, dove le responsabilità sono ben delineate.
Io l'unico consiglio che posso darti è quello di cercare una licenza che ti esoneri da tali responsabilità e c'è ne sono una marea, altrimenti non esisterebbe il software open source !

[Zombie17]

Non hai capito.

Io e te non sappiamo niente ne di quello che ha scritto ne di come viene usato quel software ne di cosa fa.

Se pubblica e un pirla trova una vulnerabilità che permette di arrecare danno a chi sta usufruendo del software, danni che giustificano un approfondimento della questione magari, da chi vanno se non da chi l'ha scritto e distribuito?

[Stealth]

Boh, premetto che concordo con lo schivare qualsiasi rogna, anche solo lontanamente possibile. Ma chiarito questo, credo si potrebbe pubblicare come beta (o alfa perchè no) e con tutte le riserve del caso, messe bene in vista. Cose del tipo "da usare solo per testing e debugging" e cose del genere.
Anche perchè altrimenti nessuno potrebbe mai più pubblicare nulla

[woddy68]

Boh, premetto che concordo con lo schivare qualsiasi rogna, anche solo lontanamente possibile. Ma chiarito questo, credo si potrebbe pubblicare come beta (o alfa perchè no) e con tutte le riserve del caso, messe bene in vista. Cose del tipo "da usare solo per testing e debugging" e cose del genere.
Anche perchè altrimenti nessuno potrebbe mai più pubblicare nulla

E' quello che penso anch'io, ma neanche le aziende si assumerebbero questa responsabilità. Di norma il software open source è pubblicato sotto licenze che esonerano lo sviluppatore da qualsiasi problema riguardante danni all'hardware al software tramite bug.
Scusate ma altrimenti chi si assumerebbe questa responsabilità ? La maggior parte del software open source è fatto da sviluppatori privati, che fanno questo per passione e se ci fosse questa eventualità dubito fortemente che lo farebbero.

[Zombie17]

Ragazzuoli lui ha distribuito il software come closed, poi con copie in giro già in uso da chi sa chi per far chi sa che lo rende open.

Il problema non è di quelli che usano il software dopo l'adozione della nuova licenza, quelli si arrangiano, il problema è di chi lo utilizza da prima e non può sapere che di punto in bianco lo sviluppatore mette tutto in piazza.

Perché è tanto antipatico il concetto di pararsi le chiappe?

[woddy68]

Ragazzuoli lui ha distribuito il software come closed, poi con copie in giro già in uso da chi sa chi per far chi sa che lo rende open.

Il problema non è di quelli che usano il software dopo l'adozione della nuova licenza, quelli si arrangiano, il problema è di chi lo utilizza da prima e non può sapere che di punto in bianco lo sviluppatore mette tutto in piazza.

Perché è tanto antipatico il concetto di pararsi le chiappe?

...a beh questo è un'altro discorso a cui non avevo pensato, certo se ha venduto il precedenza il programma avrà comunque avuto una licenza e in base a quella si dovrà attenere o fare un fork rendendolo open source.

[Stealth]

Non credo l'abbiano comprato (o adottato) in molti, e a questo punto io contatterei tutti per email fornendo gli estremi della nuova licenza o, in alternativa, le istruzioni per rimuovere il software

[Zombie17]

Ma si alla fine il discorso è tutto li, evitare in ogni modo di crearsi casini per un inezia

[woddy68]

Di solito però convertire una licenza proprietaria a licenza open source non è un problema, proprio perché le licenze proprietarie ne concedono solo l'uso mentre il proprietario è libero di farci quello che vuole, molto più problematico fare il contrario in alcuni casi.
Però senza ulteriori dettagli...comunque credo che potresti chiedere direttamente alla FSF, lì sicuramente ti sapranno dare risposte certe.

[Pike]

Poscritto: fatti aiutare per i termini della privacy. Da 2 anni le cose sono cambiate... tantino.

[SoulEdge]

Boh, premetto che concordo con lo schivare qualsiasi rogna, anche solo lontanamente possibile. Ma chiarito questo, credo si potrebbe pubblicare come beta (o alfa perchè no) e con tutte le riserve del caso, messe bene in vista. Cose del tipo "da usare solo per testing e debugging" e cose del genere.

Quindi dovrei rilasciare una nuova versione con un nuovo ToS in cui dico questo, in effetti avrebbe senso per permettere a chi già la usa eventualmente di non essere più in accordo con l'uso dell'app.

Se pubblica e un pirla trova una vulnerabilità che permette di arrecare danno a chi sta usufruendo del software, danni che giustificano un approfondimento della questione magari, da chi vanno se non da chi l'ha scritto e distribuito?

Mia principale paura...

Però allo stato attuale l'app ha non solo pochi download ma anche pochi utenti che la usano...il mio volerla rilasciare opensource era un ultimo tentativo di lanciarla perchè - a mio avviso - non è male come idea di fondo. Potrei anche pubblicare il link dell'app qui per avere le vostre idee ed impressioni più calibrate ma preferisco prima delineare lo scenario in cui mi trovo a lavorare.

E' quello che penso anch'io, ma neanche le aziende si assumerebbero questa responsabilità. Di norma il software open source è pubblicato sotto licenze che esonerano lo sviluppatore da qualsiasi problema riguardante danni all'hardware al software tramite bug.
Scusate ma altrimenti chi si assumerebbe questa responsabilità ? La maggior parte del software open source è fatto da sviluppatori privati, che fanno questo per passione e se ci fosse questa eventualità dubito fortemente che lo farebbero.

Nè le aziende nè i privati però conservano nel loro cloud dati delgi utenti...è come se Dropbox rendesse pubblici i sorgenti della sua app, o EverNote o qualunque altro software che basa i suoi dati su propri server.

Ragazzuoli lui ha distribuito il software come closed, poi con copie in giro già in uso da chi sa chi per far chi sa che lo rende open.
Il problema non è di quelli che usano il software dopo l'adozione della nuova licenza, quelli si arrangiano, il problema è di chi lo utilizza da prima e non può sapere che di punto in bianco lo sviluppatore mette tutto in piazza.
Perché è tanto antipatico il concetto di pararsi le chiappe?

Questo non sarebbe un problema alla luce di quanto è stato detto: pubblico una nuova versione con un nuovo ToS aggiornato. Nel db online conservo il numero di versione di ToS che l'utente accetta ed in caso di ToS vecchio potrei benissimo cancellare i vecchi dati...ma ciò non sarebbe corretto nei confronti di quegli utenti visto che se non erro nei ToS parlo di conservare i dati max 2 anni, ma se uno l'ha accettata il mese prima si ritrova con i dati cancellati (non una grande perdita suppongo...)

...a beh questo è un'altro discorso a cui non avevo pensato, certo se ha venduto il precedenza il programma avrà comunque avuto una licenza e in base a quella si dovrà attenere o fare un fork rendendolo open source.

Potrei sempre fare come fa Chrome e Chromium, che prende il sorgente di Chromium, aggiunge qualcosa (io non aggiungerei nulla perchè non ho customizzazioni da fare ) li compila e li rilascia...

Ripeto, potrei nascondere gli indirizzi veri del server ma il rischio di fare un "push & commit" con quelli dentro su GitHub conoscendomi sarebbe altissimo

[...] comunque credo che potresti chiedere direttamente alla FSF, lì sicuramente ti sapranno dare risposte certe.

Hanno un ufficio apposito per chi vuole adottare licenze free?

Poscritto: fatti aiutare per i termini della privacy. Da 2 anni le cose sono cambiate... tantino.

Al tempo mi ero fatto aiutare da un avvocato che mi aveva però fornito la consulenza "senza garanzia"

[woddy68]

Hanno un ufficio apposito per chi vuole adottare licenze free?

Ci dovrebbe essere il link per fare eventuali domande, la FSF si occupa solo di licenze libere, quindi a mio parere potresti chiedere.

https://fsfe.org/activities/ftf/services.it.html