Docker est une plateforme open source pour le développement, l'expédition et l'exécution d'applications. Il permet aux développeurs et aux organisations de séparer leurs applications de leurs infrastructures afin de pouvoir livrer rapidement des logiciels et de gérer leurs infrastructures de la même manière qu'ils gèrent leurs applications. Et Docker Hub est la plus grande bibliothèque et communauté au monde pour les images de conteneurs. Une image Docker est un moyen pratique d'empaqueter des applications et des environnements de serveur préconfigurés, que vous pouvez utiliser pour votre usage privé ou partager avec d'autres utilisateurs de Docker.
Docker a une offre gratuite et propose également des plans d'abonnement payants. Et avec son service Free Team, l'entreprise donnait la possibilité aux utilisateurs de Docker Hub de créer des équipes et donner aux membres l'accès à des référentiels d'images partagés. Ce service serait majoritairement utilisé par les mainteneurs de projets open source. Mais mercredi, les utilisateurs de Docker disposant d'un compte Free Team ont commencé à signaler avoir reçu un email de Docker les informant qu'ils ne pourront bientôt plus utiliser le service et qu'ils devront passer à un abonnement payant dans 30 jours sous peine de perdre l'accès à leurs données.
Is Docker saying that the OSS openfaas organisation on Docker Hub will get deleted if we don't sign up for a paid plan?
— Alex Ellis (@alexellisuk) March 14, 2023
What about Prometheus, and all the other numerous OSS orgs on the Docker Hub?
cc @justincormack pic.twitter.com/FUCZPxHz1x
Selon un rapport publié par Alex Ellis d'OpenFAAS, le courriel de Docker indique ceci : « ce niveau comprenait un grand nombre des mêmes caractéristiques, tarifs et fonctionnalités qu'un abonnement payant à Docker Team et l'accès aux fonctionnalités payantes - y compris les référentiels privés - sera suspendu le 14 avril 2023 si vous ne passez pas à une offre payante. Docker conservera les données de votre organisation pendant 30 jours après quoi, elles seront soumises à la suppression ». Alors que Free Team a été largement utilisé par les projets open source, les experts indiquent que le problème n'est pas seulement le retrait du service gratuit.
Mais il faut également prendre en compte l'impact de la suppression des images utilisées dans les scripts de construction d'intégration continue. Des projets open source comme Egeria (standard de métadonnées ouvert) et Kind (test de Kubernetes avec des conteneurs) ont été contraints de réagir rapidement après l'annonce mercredi. « Si aucune mesure n'est prise, cela brisera les pipelines de CI des gens, car les anciennes images ne seront plus disponibles sur Docker Hub (du moins pas au même endroit). Le coût d'un abonnement payant est de 300 dollars par an », a déclaré un responsable du gestionnaire de paquets open source Mamba, sur GitHub.
« Nous dépendons principalement d'images provenant d'organisations relativement importantes (alpine, node, golang, etc), donc on pourrait croire que tout ira bien. Ils sont tous soit dans le programme open source, soit en train de payer. Mais je ne peux pas me fier à cela. Si ces images disparaissent, nous perdons la possibilité de publier et ce n'est pas acceptable. Nous n'avons aucun moyen de savoir quelles organisations ont payé et lesquelles n'ont pas payé. Lesquelles sont membres du programme open source et lesquelles ne le sont pas. Je ne peux même pas savoir quelles images sont susceptibles d'être menacées », a écrit un autre développeur.
En contrepartie, Docker propose le programme "Docker Sponsored Open Source" (DSOS) par lequel les projets appropriés peuvent obtenir des abonnements gratuits à Team, et dans le cas de Mamba, cela a été rapidement arrangé. Le programme DSOS comporte toutefois quelques restrictions. Docker indique : « le projet ne doit pas avoir de voie vers la commercialisation. Votre organisation ne doit pas chercher à faire des profits par le biais de services ou en faisant payer les niveaux supérieurs. Vous pouvez toutefois accepter des dons pour soutenir vos efforts ». Mais cette proposition a également été dénoncée par les développeurs de projets open source.
Dans son rapport, Alex Ellis dénonce l'attitude de Docker : « Docker nous tient en otage ici, si nous ne payons pas, les systèmes vont s'effondrer pour de nombreux utilisateurs. Docker a une définition hostile et déconnectée de ce qui est autorisé dans son programme open source. Il exclut tout ce qui n'est pas des projets de temps libre, ou des projets qui ont été entièrement donnés à une fondation open source. L'open source a un problème de financement, et Docker est né dans l'open source. Nous, la communauté, avons été les faiseurs de roi, et maintenant qu'ils génèrent des revenus importants, ils ne sont que trop prêts à oublier leurs racines ».
There is an open-source exemption, but it's very strict (absolutely no "pathway to commercialization" - no services, no sponsors, no paid addons, and no pathway to ever do so later) and they're apparently taking >1 year to process applications anyway.
— Tim Perry (@pimterry) March 14, 2023
Tim Perry, créateur d'un projet appelé "httptoolkit", a également commenté : « je dirige un minuscule projet open source, mais avec quelques revenus (juste assez pour rendre le développement viable avec un seul développeur), ce qui signifie qu'il semble que je ne sois pas non plus autorisé à participer au programme open source. Les images impactées sont largement utilisées par d'autres, référencées dans toutes sortes de documents et de constructions CI, et intégrées dans des logiciels fonctionnant un peu partout, donc laisser entendre que toutes ces images cesseront d'être accessibles dans 30 jours est un énorme problème ».
Une plainte fréquente est que Docker semble être inflexible quant aux solutions autres que la conversion à une équipe payante ou DSOS. « Pouvoir convertir le compte de mon organisation en un compte personnel gratuit à utilisateur unique avec le même nom et les mêmes images serait une solution raisonnable, tout comme autoriser les redirections afin que les images puissent être hébergées ailleurs. Héberger les images ailleurs est facile, mais "faire cela maintenant ne résout pas mon problème parce que les URL existantes du hub Docker sont déjà largement utilisées partout », a déclaré Perry dans un commentaire publié sur GitHub.
Certains candidats, comme Neil Hanlon du projet Rocky Linux, n'ont toujours pas reçu de réponse de Docker concernant leurs candidatures à DSOS. Beaucoup de ceux qui se plaignent de ce changement gèrent des projets open source avec des dépendances de construction qui pourraient se briser. Certains projets, comme Livebook, prévoient déjà de déplacer tous les conteneurs de Docker vers le GitHub Container Registry, mais devront migrer leurs anciennes images manuellement. Le projet Kubernetes Kind réfléchit également à d'autres options, qui risquent toutes d'interrompre les flux de travail et de nécessiter une reconstruction.
Les développeurs craignaient également que leur espace de noms soit détourné par d'autres après la suppression, ce qui le rendrait vulnérable à la distribution de logiciels malveillants, mais Docker a déclaré que "toute organisation suspectée ou supprimée ne libérera pas l'espace de noms, de sorte qu'il ne sera pas possible de squatter les espaces de noms précédents." Docker a également promis de ne pas suspendre une organisation lorsqu'une demande de DSOS est en cours d'examen.
Sources : Docker (1, 2, 3), Docker Hub Feedback, Billet de blogue
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez de la décision de Docker d'abandonner le service Free Team ?
Selon vous, quels impacts cela pourrait avoir sur la communauté des logiciels open source ?
Êtes-vous impacté par cette décision ? Si oui, comment comptez-vous procéder pour la suite ?
Selon vous, cette décision va-t-elle impacter sur la croissance de Docker ? Pourquoi ?
Voir aussi
51 % des 4 millions d'images Docker analysées présentent des vulnérabilités critiques, et certaines d'entre elles peuvent être considérées comme malveillantes, selon une étude de Prevasio
Mirantis acquiert Docker Enterprise et Docker lève 35 millions dollars, mais le service restera une entreprise indépendante, d'après Mirantis
Les conteneurs constituent l'ultime cheval de Troie, leurs avantages ne passant pas inaperçus aux yeux des attaquants, qui en tirent parti pour intensifier leurs propres opérations
Une mauvaise configuration Cloud rend 90 % des entreprises qui passent à des environnements multi-clouds vulnérables, selon un nouveau rapport d'Aqua Security