Cela fait six mois que la société anciennement connue sous le nom de Dice (groupe DHI) a vendu Slashdot Media — l’unité commerciale qui gère Slashdot et SourceForge — à BIZX, LLC, une société de médias numériques basée à San Diego. Depuis lors, la nouvelle direction s’est efforcée d’effacer certaines des erreurs commises sous le régime précédent — erreurs qui ont conduit le site à devenir un peu un paria parmi les développeurs de logiciels libres et open source.
Dans un e-mail à Ars, Logan Abbott — le nouveau président de Slashdot et SourceForge — a déclaré: « SourceForge était beaucoup dans les médias l’année dernière en raison de plusieurs transgressions, que nous avons abordées depuis l’acquisition. Malheureusement, les médias ont jusqu’à présent choisi de ne pas couvrir les améliorations (probablement parce que la mauvaise presse est plus populaire). » Dans la conversation qui a suivi, Abbott a souligné la transformation en cours chez SourceForge.
Abbott a une montée, pour être sûr. La nature changeante du monde du développement logiciel a fait des référentiels tels que GitHub un incontournable pour les projets open source de toutes sortes, tandis que l’accent mis sur les téléchargements d’applications s’est fortement déplacé vers le monde mobile. Mais Abbott a déclaré qu’il pensait que SourceForge était toujours « un excellent canal de distribution » et que les développeurs reviendraient héberger avec le référentiel « lorsque les utilisateurs finaux nous considéreraient à nouveau comme une destination de confiance. »
Abbott a tenté de relancer le processus visant à inciter les gens à faire confiance à SourceForge la semaine dernière avec une sorte de session Ask Me Anything sur le subreddit Sysadmin de Reddit. Son ouverture a été bien accueillie. Mais lui et Slashdot Media ont peut-être un peu plus de travail à faire avant de pouvoir se débarrasser des dommages causés pendant le mandat de DHI.
La chute
La confiance des utilisateurs finaux a été pour le moins meurtrie. SourceForge, sous la propriété de DHI, était devenu un repaire de publicité trompeuse, avec des pages de téléchargement remplies de « publicités » qui se déguisaient en boutons de téléchargement. Ces publicités étaient souvent « malvertisantes », liées à des téléchargements limites ou même malveillants. Et ils étaient frustrants pour les développeurs. Malgré l’engagement de DHI de contrôler les publicités, elles ont continué à se propager — et de nombreux développeurs ont déplacé leurs projets sur leurs propres sites.
Mais même lorsque certains projets ont été vérifiés, SourceForge a continué à héberger de nombreux projets open source disparus — les « mettre en miroir » à l’insu des développeurs et, dans certains cas, les envelopper dans des installateurs personnalisés qui ont doublé leur source de revenus. Les installateurs de logiciels publicitaires faisaient partie du programme « DevShare » de SourceForge, qui devait à l’origine être un programme de partage volontaire des revenus générant de l’argent à la fois pour Slashdot et pour ceux hébergeant leur logiciel sur le site.
En mai dernier, la communauté de développement de l’outil de manipulation d’images GIMP a constaté que SourceForge avait fermé le compte SourceForge inactif du site et avait mis en place un miroir de GIMP pour Windows sous le contrôle des éditeurs SourceForge. Le code GIMP dans le compte « miroir » a été enveloppé avec un programme d’installation DevShare. D’autres projets inactifs ont également affirmé que les éditeurs de SourceForge avaient pris le contrôle de leurs comptes de projet sur le site, les mettant derrière des installateurs similaires. Moins d’un mois après le tollé, DHI a annoncé qu’elle vendrait SourceForge et Slashdot.
Au revoir à tout ce que
Environ les deux tiers des employés de Slashdot Media ont conservé leur emploi une fois la transaction terminée, a déclaré Abbott. « Chaque fois qu’il y a des fusions ou des acquisitions entre deux entreprises, il y a presque toujours un certain chevauchement des fonctions, ce qui s’est produit dans ce cas », a-t-il déclaré. « La majorité de ceux qui sont venus sont toujours à bord. » Outre les licenciements, Abbott et l’équipe de direction ont entrepris de contrôler immédiatement les dommages.
À la clôture de l’acquisition, Abbott a déclaré : « La première chose que nous avons faite a été d’éliminer le programme DevShare qui regroupait les logiciels publicitaires dans les installateurs. »Alors que DHI a déclaré qu’il avait mis fin à la pratique consistant à utiliser des installateurs DevShare avec des miroirs open source après la controverse qui a éclaté l’été dernier, les offres « groupées » constituaient toujours une partie importante de la stratégie de revenus du site avant l’acquisition.
Il y a encore des publicités — et beaucoup d’entre elles, car le modèle économique de SourceForge est basé sur la publicité. Mais la société a mis un membre du personnel à temps plein sur le travail de traquer les annonces de boutons de téléchargement trompeuses et de mettre sur liste noire les annonceurs derrière eux. « Quatre-vingt-dix-neuf pour cent de ces annonces sont supprimées », a noté Abbott, « et nous sommes sur le point de déployer un système de reporting où tout utilisateur peut signaler une mauvaise annonce pour une mise sur liste noire. Nous ne l’avons pas encore annoncé, mais il est en direct pour 30% de notre base d’utilisateurs et le sera entièrement d’ici la fin de cette semaine. »
« D’autres mesures liées à la sécurité ont été prises très tôt », a déclaré Abbott. » De plus, nous avons déployé une prise en charge complète de HTTPS pour SourceForge.net . »
SourceForge est désormais également partenaire de BitDefender pour fournir une analyse des logiciels malveillants de tous les projets téléchargés dans le référentiel. « Nous effectuons également un scan avec ESET », a déclaré Abbott. « Chaque projet a été analysé, et s’il contient un logiciel malveillant ou un logiciel publicitaire, nous désactiverons le téléchargement à moins qu’un utilisateur ne contourne un badge d’avertissement rouge très visible. La grande majorité des projets ne contenaient aucun logiciel malveillant ou logiciel publicitaire, mais parmi les projets qui l’ont fait, leurs développeurs ont abordé la situation dans la grande majorité des cas. »
Et SourceForge adopte également GitHub — avec un outil qui permettra aux développeurs d’importer et de synchroniser des projets depuis GitHub. Abbott a dit que se différencier de GitHub n’est pas un problème. « GitHub a recueilli beaucoup d’argent, et ils ont un modèle différent de nous, mais je pense que le jury est toujours sur la durabilité de ce modèle », a-t-il suggéré. « Nous sommes également différents de GitHub. Pour les utilisateurs finaux, nous pensons que SourceForge reste l’endroit le plus facile pour télécharger des logiciels prêts à l’emploi et opérationnels en un rien de temps. »
Éthique du référentiel
Certains dans l’espace du logiciel libre ne pensent pas que SourceForge soit encore allé assez loin pour gagner leur confiance. La Free Software Foundation a récemment publié une liste de « Critères de référentiel éthique », et elle a donné à SourceForge une note d’échec (bien que pour être juste, ils ont également rejeté GitHub, et seul GNU Savannah a reçu un « A »). SourceForge a échoué car:
- Les fonctionnalités importantes du site ne fonctionnent pas sans JavaScript ou avec LibreJS activé.
- Il rejette les utilisateurs de certains pays.
Abbott a expliqué que ces choses n’étaient pas sur le point de changer — mais n’étaient probablement pas des critères équitables. « Nous rejetons les utilisateurs de certains pays parce que SourceForge héberge des logiciels cryptographiques », a-t-il noté, « nous sommes donc liés par les lois américaines sur les exportations. En ce qui concerne le point Javascript, la majorité de nos fonctionnalités de base fonctionnent sans Javascript. Notre modèle de revenus est également largement basé sur les publicités afin de garder SourceForge totalement gratuit, il y a donc Javascript à cet égard, mais nous ne diffusons aucune publicité pour les utilisateurs connectés. »
Il y a eu quelques améliorations notables de la transparence en ce qui concerne la façon dont SourceForge gère ces projets de logiciels libres et open source en miroir. Alors que SourceForge exécute toujours des miroirs de projets open source, les pages de ces projets ont maintenant un avis bien visible qui avertit les utilisateurs: « Hé, ce n’est pas un projet SourceForge! Consultez le répertoire Miroir Open source SourceForge pour plus d’informations. »
Tout cela s’ajoute à un renversement significatif de l’approche par rapport à SourceForge cette fois l’année dernière. Il faudra peut-être plus pour amener les développeurs à reconsidérer la distribution du code compilé de leurs projets via le référentiel. Mais même avec le succès SourceForge a pris la réputation, le site est « rentable maintenant », a déclaré Abbott. Cela peut en dire autant sur l’optimisation des moteurs de recherche et la densité publicitaire du site que sur la fidélité des utilisateurs inconditionnels de SourceForge, qui téléchargent toujours en masse.