Signal scheint seinen Server-Quellcode aufgegeben zu haben

Di, 9. März 2021, Ralf Hersel

Der Quellcode für den serverseitigen Teil der Signal-Messaging-Anwendung ist seit 2013 auf GitHub unter der GNU AGPL-Lizenz verfügbar. Signal Messenger LLC aktualisierte das Signal-Server-Repository regelmässig, bis sie am 22. April 2020 einen letzten Commit durchführten, der die Version auf 3.21 erhöhte. Seitdem gab es dort keine neuen Aktivitäten mehr. Es scheint, dass das Repository aufgegeben wurde. Anfragen, warum das so ist, werden nicht beantwortet.

Mehrere besorgte Signal-Benutzer haben bemerkt, dass der serverseitige Code, der derzeit im Signal-Server-Repository auf GitHub verfügbar ist, im Vergleich zu dem, was Signal Messenger LLC auf ihren Produktionsservern im Internet ausführt, stark veraltet ist. Es ist fast ein Jahr her, dass das öffentlich verfügbare AGPL-lizenzierte Server-Quellcode-Repository auf Microsoft GitHub aktualisiert wurde.

Die öffentlichen Signal-APIs sind ein Hinweis darauf, dass Signal serverseitigen Code verwendet, der neuer ist als der, der auf GitHub veröffentlicht ist. Einige der APIs, die vom Produktionsserver angeboten werden, sind nirgendwo im Quellcode-Repository zu finden. Der Funktionsumfang des Open-Source-Servers ist nicht mehr mit den Anforderungen der Signal-Anwendungen kompatibel.

Der Signal-Server ist unter der GNU AGPL lizenziert, eine Lizenz, die besagt, dass jeder, der die Software serverseitig betreibt, den Quellcode zur Verfügung stellen muss. Das gilt nicht für Signal Messenger LLC, denn sie sind der alleinige Copyright-Inhaber. Es wäre etwas anderes, wenn sie viele Commits von anderen Kontributoren über die Jahre zusammengeführt hätten. Eine nähere Betrachtung der Commit-Historie zeigt keine Beiträge von Dritten, also scheint es, dass Signal Messenger LLC tatsächlich der alleinige Inhaber der Urheberrechte ist. Damit handeln sie legal, wenn sie fast ein Jahr lang Änderungen am Quellcode ihres Messaging-Servers zurückhalten. Signal Messenger LLC hat immer wieder öffentlich erklärt, dass sie vollständig Open Source sind. Dies scheint nicht der Fall zu sein, da sie den serverseitigen Code so behandeln, als würde er nicht der GNU AGPL unterliegen. Die Veröffentlichung von aktualisiertem Quellcode ist eine der Kernanforderungen der GNU AGPL-Lizenz.

Was auch immer die Motivation ist, es scheint ziemlich klar zu sein, dass Signal Messenger LLC aufgehört hat, das "Open-Source"-Unternehmen zu sein, das sie vorgeben zu sein. Sie sollten entweder den aktualisierten serverseitigen Quellcode veröffentlichen oder eine Erklärung abgeben, warum sie es nicht tun.

Quellen:

https://linuxreviews.org/Signal_Appears_To_Have_Abandoned_Their_AGPL-licensed_Server_Sourcecode

https://github.com/signalapp/Signal-Server

Es wurden noch keine Kommentare verfasst, sei der erste!