Es ist sechs Monate her, seit das Unternehmen, das früher als Dice (DHI Group) bekannt war, Slashdot Media — die Geschäftseinheit, die Slashdot und SourceForge betreibt — an BIZX, LLC, ein in San Diego ansässiges digitales Medienunternehmen, verkauft hat. Seitdem hat das neue Management versucht, einige der Fehler zu beseitigen, die unter dem vorherigen Regime gemacht wurden — Fehler, die dazu führten, dass die Website unter Open Source- und Free-Software-Entwicklern zu einem Paria wurde.
In einer E-Mail an Ars sagte Logan Abbott — der neue Präsident von Slashdot und SourceForge —: „SourceForge war letztes Jahr aufgrund mehrerer Verstöße, die wir seit der Übernahme angesprochen haben, häufig in den Medien. Leider haben sich die Medien bisher dafür entschieden, die Verbesserungen nicht zu behandeln (wahrscheinlich, weil schlechte Presse populärer ist).“ In dem folgenden Gespräch betonte Abbott die Transformation, die bei SourceForge im Gange ist.
Abbott hat einen Aufstieg, um sicher zu sein. Die sich verändernde Natur der Softwareentwicklungswelt hat Repositorys wie GitHub zu einer Anlaufstelle für Open-Source-Projekte aller Art gemacht, während sich der Fokus auf Anwendungsdownloads stark in Richtung mobile Welt verlagert hat. Aber Abbott sagte, er glaube, dass SourceForge immer noch „ein großartiger Vertriebskanal“ sei und dass Entwickler mit dem Repository wiederkommen werden, „wenn Endbenutzer uns wieder als vertrauenswürdiges Ziel sehen.“
Abbott hat letzte Woche versucht, die Leute dazu zu bringen, SourceForge wieder zu vertrauen, mit einer Art Ask Me Anything-Sitzung auf Reddits Sysadmin-Subreddit. Seine Offenheit kam gut an. Aber er und Slashdot Media haben vielleicht noch ein bisschen mehr zu tun, bevor sie den Schaden abschütteln können, der während der Amtszeit von DHI angerichtet wurde.
Der Fall
Das Vertrauen der Endbenutzer wurde gelinde gesagt etwas beschädigt. SourceForge, unter dem Eigentum von DHI, war zu einer Höhle irreführender Werbung geworden, mit Download-Seiten voller „Werbung“, die sich als Download-Buttons tarnten. Diese Anzeigen waren oft „Malvertising“, verbunden mit Borderline oder sogar bösartigen Downloads. Und sie waren frustrierend für Entwickler. Trotz des Versprechens von DHI, die Anzeigen zu überwachen, verbreiteten sie sich weiter — und viele Entwickler verlegten ihre Projekte auf ihre eigenen Websites.
Aber selbst als einige Projekte ausgecheckt wurden, hostete SourceForge weiterhin viele andere Open—Source-Projekte – „spiegelte“ sie ohne Wissen der Entwickler und wickelte sie in einigen Fällen in benutzerdefinierte Installationsprogramme ein, die sich als Einnahmequelle verdoppelten. Die Adware-Installer waren Teil des „DevShare“ -Programms von SourceForge, das ursprünglich als freiwilliges Revenue—Sharing-Programm gedacht war und sowohl für Slashdot als auch für diejenigen, die ihre Software auf der Website hosten, Geld generierte.GIMP-Gimp-Spiegel
Im vergangenen Mai fand die Entwickler-Community für das GIMP-Bildbearbeitungstool heraus, dass SourceForge das inaktive SourceForge-Konto für die Site geschlossen und einen Spiegel von GIMP für Windows unter der Kontrolle von SourceForge-Editoren eingerichtet hatte. Der GIMP-Code im „Mirror“ -Konto wurde mit einem DevShare-Installationsprogramm umhüllt. Andere Projekte, die inaktiv waren, behaupteten auch, dass SourceForge-Redakteure die Kontrolle über ihre Projektkonten auf der Website übernommen und sie hinter ähnliche Installationsprogramme gestellt hätten. Weniger als einen Monat nach dem Aufschrei kündigte DHI an, SourceForge und Slashdot zu verkaufen.
Auf Wiedersehen zu all dem
Etwa zwei Drittel der Mitarbeiter von Slashdot Media behielten ihre Jobs, nachdem die Transaktion abgeschlossen war, sagte Abbott. „Wann immer es Fusionen oder Übernahmen zwischen zwei Unternehmen gibt, gibt es fast immer Überschneidungen in den Jobfunktionen, was in diesem Fall passiert ist“, sagte er. „Die meisten, die gekommen sind, sind noch an Bord.“ Abgesehen von den Entlassungen wollten Abbott und das Managementteam eine sofortige Schadensbegrenzung durchführen.
Als die Übernahme abgeschlossen wurde, sagte Abbott: „Als erstes haben wir das DevShare-Programm entfernt, das Adware in Installationsprogrammen gebündelt hat.“ Während DHI sagte, dass es die Praxis der Verwendung von DevShare-Installationsprogrammen mit Open-Source-Spiegeln beendet hatte, nachdem die Kontroverse im letzten Sommer aufgekocht war, waren die „Bundle“ -Angebote vor der Übernahme immer noch ein wichtiger Teil der Umsatzstrategie für die Website.
Es gibt immer noch Anzeigen — und viele davon, da das Geschäftsmodell von SourceForge von Werbung angetrieben wird. Aber das Unternehmen hat einen Vollzeit-Mitarbeiter damit beauftragt, betrügerische Download-Button-Anzeigen zu jagen und die dahinter stehenden Werbetreibenden auf die schwarze Liste zu setzen. „Neunundneunzig Prozent dieser Anzeigen werden entfernt“, bemerkte Abbott, „und wir sind dabei, ein Berichtssystem einzuführen, in dem jeder Benutzer eine schlechte Anzeige für die schwarze Liste melden kann. Wir haben dies noch nicht angekündigt, aber es ist live für 30 Prozent unserer Nutzerbasis und wird bis Ende dieser Woche vollständig live sein.“
„Es gab schon früh einige andere sicherheitsrelevante Schritte“, sagte Abbott. „Darüber hinaus haben wir die vollständige HTTPS-Unterstützung für SourceForge.net.“
SourceForge arbeitet jetzt auch mit BitDefender zusammen, um Malware-Scans aller in das Repository hochgeladenen Projekte durchzuführen. „Wir führen auch einen Scan mit ESET durch“, sagte Abbott. „Jedes Projekt wurde gescannt, und wenn es Malware oder Adware enthält, deaktivieren wir das Herunterladen, es sei denn, ein Benutzer umgeht ein sehr auffälliges rotes Warnschild. Die überwiegende Mehrheit der Projekte enthielt keine Malware oder Adware, aber von den Projekten, die dies taten, haben ihre Entwickler die Situation in den allermeisten Fällen angesprochen.“
Und Sourceforge umarmt auch GitHub—mit einem Tool, das Entwicklern erlaubt, Projekte von GitHub zu importieren und zu synchronisieren. Abbott sagte, die Unterscheidung von GitHub sei kein Problem. „GitHub hat eine Menge Geld gesammelt, und sie haben ein anderes Modell als wir, aber ich denke, die Jury ist immer noch nicht sicher, wie nachhaltig dieses Modell ist“, schlug er vor. „Wir sind auch anders als GitHub. Für Endbenutzer glauben wir, dass SourceForge immer noch der einfachste Ort ist, um Software herunterzuladen, die sofort einsatzbereit ist und in kürzester Zeit einsatzbereit ist.“
Repository-Ethik
Einige im Bereich der freien Software glauben nicht, dass SourceForge weit genug gekommen ist, um ihr Vertrauen zu verdienen. Die Free Software Foundation hat kürzlich eine „Ethical Repository Criteria“ -Liste veröffentlicht, und sie gab SourceForge eine schlechte Note (obwohl sie fairerweise auch GitHub durchgefallen sind und nur GNU Savannah ein „A“ erhalten hat). SourceForge scheiterte, weil:
- Wichtige Website-Funktionen funktionieren nicht ohne JavaScript oder mit aktiviertem LibreJS.
- Benutzer aus bestimmten Ländern werden abgelehnt.
Abbott erklärte, dass sich diese Dinge nicht ändern würden — aber wahrscheinlich keine fairen Kriterien waren. „Wir lehnen Benutzer aus bestimmten Ländern ab, weil SourceForge kryptografische Software hostet“, bemerkte er, „daher sind wir an die Exportgesetze der Vereinigten Staaten gebunden. Was den Javascript-Punkt betrifft, so funktionieren die meisten unserer Kernfunktionen ohne Javascript. Unser Umsatzmodell wird auch weitgehend durch Werbung gesteuert, um SourceForge völlig kostenlos zu halten, daher gibt es in dieser Hinsicht Javascript, aber wir spielen überhaupt keine Anzeigen für angemeldete Benutzer aus.“
Es gab einige bemerkenswerte Verbesserungen bei der Transparenz in Bezug darauf, wie SourceForge mit diesen gespiegelten freien und Open-Source-Softwareprojekten umgeht. Während SourceForge immer noch Spiegel von Open-Source-Projekten betreibt, haben die Seiten für diese Projekte jetzt einen prominenten Hinweis, der Benutzer warnt: „Hey, das ist kein SourceForge-Projekt! Weitere Informationen finden Sie im SourceForge Open Source Mirror Directory.“
Dies alles summiert sich zu einer signifikanten Umkehrung des Ansatzes von wo Sourceforge war dieses Mal im letzten Jahr. Es kann länger dauern, bis Entwickler die Verteilung des kompilierten Codes ihrer Projekte über das Repository überdenken. Aber selbst mit dem Erfolg, den SourceForge in Bezug auf den Ruf erlangt hat, ist die Website „jetzt profitabel“, sagte Abbott. Das kann so viel über die Suchmaschinenoptimierung und die Werbungsdichte der Website aussagen wie über die Loyalität eingefleischter SourceForge-Nutzer, die immer noch in Scharen herunterladen.