En octobre dernier, Eliot Horowitz, le directeur technique et cofondateur de MongoDB a fait une annonce qui a créé des tumultes dans la communauté open source : la création d’une nouvelle licence open source, la Server Side Public Licence (SSPL) pour le célèbre système de gestion de base de données orientée documents. Cette licence s'applique à toutes les versions de MongoDB publiées ou qui seront publiées après le 16 octobre 2018 et vient en remplacement de la licence AGPLv3. Elle s'applique également aux correctifs pour les versions antérieures du SGBD.Dans un billet de blog, Eliot Horowitz a expliqué que ce changement était destiné à encadrer l’utilisation du SGBD comme service. Il se trouve en effet que bon nombre de fournisseurs de services cloud - y compris les plus gros fournisseurs - s’appuient sur le code source du SGBD pour offrir des versions commerciales aux utilisateurs sans respecter les règles de l’open source. « La SSPL est conçue pour s’assurer que les entreprises qui offrent MongoDB (ou tout logiciel soumis à la SSPL) comme un service donnent en retour à la communauté », explique le CTO, qui a décidé de clarifier un point dans la licence du SGBD : « si vous rendez une fonctionnalité du programme ou une version modifiée disponible en tant que service à des tiers, le code source doit être téléchargeable sur les réseaux sans frais. »
Ainsi, pour Horowitz, la SSPL clarifie juste les conditions de mise à disposition du public de MongoDB en tant que service. « La SSPL s’appuie sur l’esprit de l’AGPL, mais apporte des précisions sur les conditions de fourniture de logiciels open source en tant que services. La licence reconduit toutes les libertés dont la communauté de l’open source jouissait avec MongoDB sous l’AGPL : liberté d'utiliser, de réviser, de modifier et de redistribuer le logiciel. Le seul changement de fond est une condition explicite selon laquelle toute organisation qui tente d'exploiter MongoDB en tant que service doit ouvrir le logiciel qu'elle utilise pour offrir ce service. Ce changement de licence n'aura aucune incidence sur les clients qui ont acheté une licence commerciale de MongoDB », a également commenté l'agence de presse AP News.
La SSPL v1 a été soumise pour examen à l’Open Source Initiative (OSI), mais elle n'a pas encore été approuvée ; ce qui fait que les versions de MongoDB sous cette licence ne sont pas open source. Une autre version de la licence (SSPL v2) qui a été également proposée peine à convaincre l'OSI.
Pour de nombreux observateurs, la nouvelle licence SSPL de MongoDB s'écarte de l'esprit open source. Pour certains d'entre eux, la SSPL pourrait simplement donner raison à Steve Ballmer, l'ancien CEO de Microsoft, lorsqu'il déclarait que la licence GPL de Linux était « un cancer qui s'attache, au sens de propriété intellectuelle, à tout ce qu'il touche ». Des discussions sur cette licence de MongoDB ont également été lancées dans plusieurs communautés, et certains ont déjà tranché à propos de leur utilisation future du célèbre SGBD. C'est le cas par exemple du projet Debian.
Le 5 décembre, en réponse à une discussion sur la licence SSPL v1 de MongoDB et le DFSG (les principes du logiciel libre selon Debian), Chris Lamb, responsable du projet Debian, a donné sa position : « Pour plus de clarté, nous ne prendrons en considération aucune autre version du SSPL au-delà de la version 1... La SSPL n'est clairement pas dans l'esprit du DFSG... Cela dit, le projet [Debian] ne considère pas que les logiciels sous licence SSPL soient appropriés pour être inclus dans les archives Debian. »
Red Hat a, pour sa part, également décidé de supprimer MongoDB de certains de ses produits. « Après examen, Fedora a conclu que la Server Side Public License v1 (SSPL) n’est pas une licence de logiciel libre », écrit Tom Callaway, Engineering Manager de Fedora, dans une note le 15 janvier 2019. « Fedora estime que la SSPL est conçue de manière à créer une discrimination agressive à l’égard d’une catégorie spécifique d’utilisateurs. En outre, il semble clair que l'auteur de la licence a pour objectif de créer la peur, l'incertitude et le doute chez les utilisateurs commerciaux de logiciels sous cette licence. Considérer la SSPL comme étant "libre" ou "open source" crée cette ombre sur toutes les autres licences de l'écosystème FOSS (Free and Open Source Software), même si aucune d'elles ne présente ce risque », dit-il.
Et même avec la version v2 de la SSPL qui est en train d'être élaborée, Tom Callaway estime que le problème demeure. L'objectif est le même. Alors, « nous avons mis à jour notre liste de "mauvaises licences" pour inclure SSPLv1. Aucun logiciel sous cette licence ne peut être inclus dans Fedora », explique l'ingénieur de Red Hat.
Outre Fedora, RHEL (Red Hat Enterprise Linux) a également décidé de se débarrasser de MongoDB dans sa prochaine version. Dans la documentation RHEL 8, Red Hat a en effet supprimé MongoDB de la liste des serveurs de bases de données fournis avec la distribution. « RHEL 8 fournit les serveurs de base de données suivants : MySQL 8.0, MariaDB 10.3, PostgreSQL 10, PostgreSQL 9.6 et Redis 4.0. Notez que le serveur de base de données NoSQL MongoDB n'est pas inclus dans la version bêta de RHEL 8.0, car il utilise la licence SSPL (Server Side Public License) », lit-on dans la documentation.
Combien de projets vont-ils abandonner encore MongoDB à cause la licence SSPL ? Le futur nous le dira surement. Mais les sociétés de cloud computing vont-elles emboiter le pas à Debian, RHEL et Fedora ? Ou vont-elles simplement prendre une licence adéquate ? En effet, certains estiment que le point commercial derrière le changement de licence de MongoDB est d'obliger les sociétés de cloud computing à utiliser l'une des offres de cloud commercial de MongoDB. Le véritable problème serait que les grandes entreprises de cloud computing en ont tiré parti du SGBD en le proposant en tant que service alors que MongoDB Inc. n'a pas été en mesure de le monétiser au même degré. Ce changement de licence n'est-il donc pas une décision juste ?
Sources : Documentation RHEL, Fedora, Debian
Et vous ?
Qu'en pensez-vous ? Ce changement de licence n'est-il pas une justice réclamée par MongoDB Inc. ? Comment MongoDB pourrait-il monétiser correctement son SGBD tout en étant open source ?Voir aussi :
AWS lance Amazon DocumentDB, un service de base de données compatible avec MongoDB, "une mauvaise imitation" selon le PDG de Mongo MongoDB sacré SGBD de l'année 2013, le système de gestion de base de données NoSQL sort premier d'un classement ultra sélectif Microsoft fait les yeux doux aux développeurs MongoDB, la firme explique pourquoi ils devraient migrer vers Azure DocumentDB MongoDB prépare son introduction en bourse pour financer son développement et mieux concurrencer le géant des SGBD Oracle qu'il considère vulnérable 11 millions d'enregistrements de courriers électroniques exposés dans une base de données MongoDB, selon un chercheur en cybersécurité