NPM: Über 250 Node-Module wegen Markenstreit offline
Eines der von Azer Koçulu erstellten Module für Node.js trägt den Namen "kik" und ist bis vor kurzem – wie für derartige Software üblich – von ihm über den Node Package Manager (NPM) verteilt worden. Doch das Verhalten von NPM in einem Markenrechtsstreit um den Namen hat Koçulu so sehr verärgert, dass er sich zu einem radikalen Schritt entschlossen hat: Der Entwickler hat sämtliche seiner über 250 Module bei NPM ausgelistet.
Auch wenn dies nur etwa ein Tausendstel aller NPM-Pakete umfasst, dürften davon wohl viele Projekte betroffen sein, die sich nun nicht mehr aktualisieren oder bauen lassen, da die notwendigen Abhängigkeiten nicht erfüllt werden können. Problematisch ist hierbei aber nicht die Anzahl der nicht mehr verfügbaren Module, sondern vor allem auch deren Funktionen.
Denn Koçulu hat teils sehr fundamentale Pakete gepflegt wie etwa "map" oder auch "iframe". Das Modul "left-pad" hatte zum Beispiel mehrere Millionen Downloads pro Monat, entsprechend groß ist die entstandene Diskussion allein zu diesem einen Modul von Koçulu auf Github, die mittlerweile geschlossen ist(öffnet im neuen Fenster) .
"Befreite Module"
Seine Beweggründe für die Entscheidung zur Auslistung legt Koçulu in einem Post auf Medium(öffnet im neuen Fenster) dar. Demnach sei der Entwickler vor einigen Wochen von einem Anwalt gebeten worden, das Modul "kik" nicht mehr bei NPM zu listen, da der Name Markenrechte verletze. Es ist unwahrscheinlich, dass dies von dem deutschen Textildiscounter Kik ausging. Vermutlich ist der Anwalt von den Betreibern des Messengers Kik(öffnet im neuen Fenster) beauftragt worden.
Eigenen Angabe zufolge weigerte sich Koçulu allerdings, dieser Aufforderung nachzukommen, so dass der Markenstreit an das Betreiberunternehmen von NPM herangetragen worden ist. Der NPM-Geschäftsführer Isaac Z. Schlueter persönlich habe daraufhin zugestimmt, Koçulu die Rechte zur Pflege seines Moduls bei NPM zu entziehen.
Dies habe Koçulu gezeigt, dass NPM "Privatbesitz" sei, bei dem die Interessen von Unternehmen wichtiger seien als die der beteiligten Personen. Letztlich wolle Koçulu seine Open-Source-Arbeit nicht mehr über NPM vertreiben. Er habe seine Module deshalb "befreit" , wie er in der Überschrift seiner Erklärung schreibt.
Verständnis, Angriffe und aufgewärmte Grundlagendiskussionen
Insbesondere bei Medium äußern einige Entwickler Verständnis für die persönliche Argumentation von Koçulu. Dennoch sind auch viele schlicht verärgert über die unvorhersehbare Entscheidung von Koçulu, immerhin sind damit Probleme verbunden, die teilweise eine sehr schnelle Reaktion der Modulnutzer notwendig machen.
NPM-Chef Schlueter schreibt auf Twitter(öffnet im neuen Fenster) , dass sich offenbar einige über diese schwierige Situation lustig machen und beschwert sich zudem über deren "Respektlosigkeit" . Doch unabhängig von dem konkreten Streitpunkt über die möglicherweise rechtswidrige Verwendung einer Marke zeigt dieser Vorfall auch Probleme in dem konkreten Aufbau von Node.js und der Modulverwaltung per NPM.
Altbekannte Diskussionen jetzt auch bei Node
Zum Beispiel ist es offensichtlich möglich, Module aus dem Paketarchiv einfach auszulisten, mit den bereits beschriebenen Folgen für die Nutzer. NPM könnte jedoch leicht ein eigenes Archiv einmal veröffentlichter Pakete pflegen und auch dann weiter eine Kopie anbieten, wenn ein Entwickler diese wie geschehen auslisten möchte. Zumindest für eines der Module von Koçulu hat NPM dies nun auch umgesetzt(öffnet im neuen Fenster) .
Die Auslistung eröffnet aber außerdem die Möglichkeit einer feindlichen Übernahme. So könnten Angreifer nach einer Auslistung ein Paket mit dem gleichen Namen zu NPM hinzufügen, das Malware enthält, ohne dass Nutzer diesen Wechsel mitbekommen. Vereinfacht wird das prinzipiell vor allem dadurch, dass die Pakete nicht signiert sind. Das Signieren von Paketen mit Hilfe von GPG ist bei Linux-Distributionen Standard.
Letztlich bedarf auch der von Koçulu angeführte Punkt, dass NPM von einem einzigen Unternehmen kontrolliert wird, einiger Diskussionen der Community. Ob und wie dieses sich verhält, ist für viele Nutzer von sehr großer Bedeutung. Doch die NPM-Nutzer haben anders als in reinen Community-Projekten keinen direkten Einfluss auf die Entscheidungen des Unternehmens und sind damit stark von diesen abhängig. Diese Problematik ist aber keineswegs neu, sondern Jahrzehnte alt. Die Node.js-Community muss sich nun aber damit beschäftigen.
Nachtrag vom 24. März 2016, 10:10 Uhr
Der Chef des Messengerdienstes Kik, Mike Roberts, hat inzwischen Stellung zu den Vorgängen genommen(öffnet im neuen Fenster) . Dabei räumt er zunächst ein, dass auch Kik selbst von der Auslistung der Module betroffen gewesen sei. Darüber hinaus erklärt Roberts, dass das Unternehmen geplant habe, ein Node-Modul für seinen Dienst über NPM zu verteilen. Die Betreiber des Messengers befürchteten aber, dass es möglicherweise zu Verwechslungen mit dem von Koçulu gepflegten Modul "kik" hätte kommen können. Deswegen wollte das Unternehmen eine Umbenennung des Moduls von Koçulu erreichen.
Als Teil seiner Erklärung veröffentlicht Roberts auch den E-Mail-Austausch zwischen Koçulu, dem Patentverwalter des Dienstes Kik sowie dem NPM-Chef Schlueter. Daraus geht hervor, dass sich die Parteien teils sehr wenig professionell in dieser Sache verhalten haben. Letztlich wird mit der Veröffentlichung der E-Mails aber nur die Darstellung von Koçulu unterstützt. Der Entwickler habe dem Unternehmen sogar angeboten, den Namen für sein Paket kaufen zu können. Stattdessen ist Koçulu zur Lösung der Auseinandersetzung schlicht umgangen worden, indem sich das Kik-Unternehmen direkt an NPM gewandt hat. Schlueter hat sich demnach tatsächlich dafür ausgesprochen, Koçulu die Rechte zur Pflege seines Pakets "kik" bei NPM zu entziehen.
- Anzeige Hier geht es zum Handbuch für Softwareentwickler bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.