L’uso di componenti open source all’interno di Nutanix Objects senza le dovute attribuzioni nelle licenze ha portato a uno scontro frontale tra Nutanix e MinIO, sviluppatrice di tali componenti. La situazione è resa molto più complessa dal fatto che MinIO ha ora deciso di revocare la licenza a Nutanix, fatto che mette le attuali installazioni di Nutanix Objects in una situazione legale incerta. Cerchiamo di capire cos’è successo.
MinIO contro Nutanix: “viola la licenza open source”
In un articolo pubblicato sul suo blog, MinIO lancia un’accusa piuttosto forte nei confronti di Nutanix: l’azienda avrebbe infatti usato componenti open source sviluppate da MinIO, senza però attribuirne correttamente la paternità come richiesto dalle licenze Apache 2.0 e AGPL v3utilizzate. Secondo MinIO, Nutanix avrebbe usato il suo software per anni senza dichiararlo, nonostante diversi tentativi di contatto per risolvere amichevolmente la situazione.
Nell’articolo MinIO afferma che, vista la mancanza di risposte per più di tre anni, la licenza a Nutanix per l’uso del suo software viene revocata. “Se siete clienti di Nutanix Objects, potrebbero esserci rischi legali e di sicurezza che dovreste conoscere come conseguenza di queste violazioni della licenza. Potreste non usare l’ultima versione di MinIO Object Storage Software, e potreste non ricevere licenze adeguate sulla proprietà intelletuale da Nutanix”, scrive MinIO.
Nutanix ha risposto in un annuncio pubblico, scrivendo che “la nostra indagine interna ha confermato che abbiamo usato solo codice di MinIO con licenza Apache 2.0 e non abbiamo usato codice con licenza AGPL v3. Dal momento che solo la licenza Apache 2.0 si applica al nostro uso del codice di MinIO, abbiamo rivisto la nostra ottemperanza alle richieste di attribuzione e notifica della licenza Apache 2.0. Durante la nostra indagine, abbiamo scoperto alcune omissioni involontarie nelle attribuzioni e segnalazioni riguardo l’uso di componenti open source in Nutanix Objects. Siamo spiacenti di ciò e ci impegniamo a migliorare nel rispetto delle richieste di attribuzione e notifica della licenza Apache d’ora in poi.”
In risposta a tali dichiarazioni, MinIO scrive che “il blog di Nutanix afferma che la mancata segnalazione [dell’uso delle componenti] è stata «involontaria». Abbiamo informato Nutanix nel dicembre 2019 [con un tweet pubblico] che non davano l’attribuzione corretta. […] Abbiamo revocato la licenza a Nutanix il 19 luglio. Ci aspettiamo ora che tutti gli eseguibili incluso l’«insieme limitato di componenti di MinIO» [che Nutanix afferma sia l’unica cosa che usa] vengano rimossi completamente dal codice di Nutanix Objects. Fino ad allora, Nutanix non dovrebbe distribuire alcun prodotto collegato ad Objects che contiene il nostro codice.”
La situazione è ora piuttosto difficile da gestire, perché MinIO non sembra intenzionata a tornare sui suoi passi e una risoluzione amichevole della vicenda sembra difficile. Non è chiaro quali siano le opzioni di Nutanix, che al momento pare impossibilitata a distribuire Objects senza violare la licenza, con possibili conseguenze legali.