Perché usare Gitea, l'alternativa etica a Gitlab e Github. Gitea.it è il sito italiano del repository open source gitea. Ospitato con amore nei server del collettivo devol. https://gitea.it
Go to file
Filippo DB 92c9d52f99 Aggiornare 'README.md' 2021-03-18 00:36:33 +01:00
README.md Aggiornare 'README.md' 2021-03-18 00:36:33 +01:00

README.md

Gitea Italia

L'istanza italiana di Gitea è gestita dal collettivo devol, il servizio è mantenuto nei loro server, potete ringraziarli offrendogli un caffè

Potete contattatare il collettivo devol su mastodon o su Matrix oppure è possibile rivevere la loro newsletter

Perché usare Gitea, l'alternativa etica a Gitlab e Github

Vale la pena ricordare che Github e Gitlab distribuiscono entrambi il software dei loro servizi come software libero. A meno che non si dica altrimenti, questo post riguarda il loro servizio, non il loro software.

Perchè non usare Gitlab

Il "software libero" che obbliga all'esecuzione di software non libero non è veramente libero.

  • Non c'è niente di particolarmente sbagliato nel software di gitlab, ma quel software deve essere ospitato e configurato e ci sono molti problemi etici con il servizio gitlab.com:
  • Trattamento sessista nei confronti delle commesse a cui viene detto di indossare abiti, tacchi, ecc.
  • Ospitato da server Google.
  • Proxy attraverso il servizio CloudFlare che è una minaccia per la privacy (man in the middle).
  • tracking
  • Trattamento ostile degli utenti Tor che cercano di registrarsi.
  • Trattamento ostile dei nuovi utenti che tentano di registrarsi con un indirizzo email di inoltro @spamgourmet.com per tracciare lo spam e per proteggere il loro indirizzo email interno più sensibile.
  • Trattamento ostile degli utenti Tor dopo che hanno creato un account e hanno dimostrato di essere un non-spammer.

Per quanto riguarda l'ultimo punto, stavo semplicemente cercando di modificare un messaggio esistente che avevo già postato e sono stato costretto a risolvere un CAPTCHA. Ci sono diversi problemi con questo:

  • CAPTCHA Serve a bloccare i bot e i bot non sono necessariamente maligni. Ad esempio, avrei potuto avere un bot che correggeva un errore di ortografia diffuso in tutti i miei messaggi.
  • I CAPTCHA mettono gli esseri umani al lavoro per le macchine quando sono le macchine che dovrebbero funzionare per gli esseri umani.
  • I CAPTCHA sono sconfitti. Gli spammer trovano economico usare la manodopera del terzo mondo per i CAPTCHA mentre gli utenti legittimi hanno questo fardello di CAPTCHA rotti.
  • Il puzzle reCAPTCHA richiede una connessione a Google
    1. I reCAPTCHA di Google compromettono la sicurezza come conseguenza del capitalismo della sorveglianza che comporta la raccolta di indirizzi IP, la stampa del browser.
        • (speculativo) Google potrebbe spingere j/s maligni che intercettano le informazioni di registrazione degli utenti?
    1. Gli utenti sono costretti ad eseguire javascript non-free (recaptcha/api.js).
    1. reCAPTCHA richiede un'interfaccia grafica, negando così il servizio agli utenti di clienti testuali.
    1. I CAPTCHA mettono gli esseri umani al lavoro per le macchine quando sono le macchine a dover lavorare per gli esseri umani. PRISM corp Google Inc. beneficia finanziariamente del lavoro di risoluzione dei puzzle, dando a Google l'opportunità di raccogliere dati, abusarne e trarne profitto. Ad esempio, Google può tenere traccia di quali dei suoi utenti registrati stanno visitando la pagina di presentazione del CAPTCHA.
    1. I CAPTCHA sono spesso rotti. Ciò equivale a una negazione del servizio. gitlab_google_recaptcha
      • Il server CAPTCHA stesso si rifiuta di dare il puzzle dicendo che c'è troppa attività.
      • E.g.2:
    1. I CAPTCHA sono spesso irrisolvibili.
      • Es.1: il puzzle CAPTCHA è rotto dall'ambiguità (un pixel in una cella della griglia di un palo che tiene un cartello stradale è considerato un cartello stradale?)
        • Es.2: il puzzle è espresso in una lingua che l'utente non capisce.
      • (nota: per un breve momento gitlab.com è passato a hCAPTCHA di Intuition Machines, Inc. ma ora sono tornati al reCAPTCHA di Google)
        • Abuso della neutralità della rete: c'è una disuguaglianza di accesso per cui gli utenti che hanno effettuato l'accesso agli account di Google ricevono un trattamento più favorevole trattamento del CAPTCHA (ma poi assumono più abusi della privacy). Gli utenti di Tor ricevono un trattamento più duro.

Il motivo per il reCAPTCHA che viene ospitato su Google.com è la condivisione dei cookie. Questo permette a reCAPTCHA di ottenere maggiori informazioni su ciò che si affida a Google online...

Per questo motivo gitlab.com dovrebbe essere elencato come servizio da evitare, come MS Github.

Perchè non usare GitHub

Questo non è direttamente collegato al repository youtube-dl che è stato tolto da GitHub da RIAA a causa di una richiesta DMCA.

Non è una novità che Microsoft abbia acquistato GitHub nel 2018, lo sanno tutti. Eppure, nonostante questo, migliaia dei più importanti progetti Open Source del mondo continuano ad ospitare il loro codice su GitHub. La gente sembra aver dimenticato quanto sia realmente marcia Microsoft e quanto sia pericolosa questa situazione.

Non è tanto il fatto che molti progetti ospitano i loro lavori su GitHub, quanto il fatto che molti progetti non hanno messo al sicuro il codice al di fuori di GitHub! Si affidano completamente a GitHub per mantenere e proteggere il codice.

Microsoft sta acquistando molto attivamente importanti progetti legati all'Open Source e nell'aprile 2020 è stato annunciato anche l'acquisito di npm, un fornitore di packaging JavaScript, per una somma di denaro non rivelata.

Forse le giovani generazioni non sanno nulla dei "mali" passati di Microsoft e credono ingenuamente che Microsoft sia ora il buon amico dell'Open Source, ma la verità è che tutte queste acquisizioni di progetti Open Source sono una tattica di business che viene messa in atto per migliorare la posizione perdente di Microsoft nei confronti dell'Open Source. È una questione di controllo.

Microsoft ha annunciato che Minecraft richiederà un account Microsoft per giocare nel 2021 e che i proprietari della versione classica saranno costretti a migrare.

Anche se questo non ha nulla a che fare con l'Open Source, è un ottimo esempio di quanto possa andare male se Microsoft in futuro deciderà che i progetti su GitHub dovranno fare qualcosa che va contro gli interessi di questi progetti.

Non farò nomi, perché questo non è importante, ma come può un progetto Open Source che considera la sua base di codice come preziosa non assicurarsi di avere una copia completamente aggiornata di ogni singola linea di codice al di fuori di GitHub!

Alcuni sviluppatori di progetti tengono solo parti del codice in repository personali, altri non hanno nemmeno un backup, ma si fidano pienamente del fatto che GitHub avrà sempre una versione funzionante e aggiornata dei latests commits.

Per anni la gente ha messo in guardia sulla posizione che GitHub ha avuto nel mondo dell'Open Source perché concentra troppo del potere in una singola entità. Avere Microsoft al volante rende la situazione mille volte peggiore.

Nessuno sano di mente avrebbe mai immaginato di caricare codice Open Source su server Microsoft solo una decina di anni fa. Microsoft è stata l'arcinemica dell'Open Source negli anni Novanta e ha messo in atto ogni tipo di tattica sporca per tenere gli altri sistemi operativi fuori dal mercato, specialmente le tattiche sporche contro Linux. Nei primi anni 2000 l'allora CEO Steve Ballmer disse: Linux è un cancro che si attacca in senso di proprietà intellettuale a tutto ciò che tocca. E per molti anni hanno cercato di ottenere il controllo di Linux e manipolato il mercato in diversi modi per "schiacciare la concorrenza". Quando si sono resi conto di non poterlo fare e che la battaglia era persa, hanno messo in atto una nuova tattica in cui invece cercano di fare soldi con Linux, che è quello che stanno facendo ora in molti settori, ed è per questo che sembrano "più amichevoli" alla comunità Open Source.

Io stesso ho un po' di codice che risiede su GitHub, ma naturalmente ho anche diversi cloni e backup aggiornati altrove. Tuttavia, avere il più grande repository al mondo di codice Open Source importante risiede nelle mani di Microsoft è semplicemente follia. Perché non sono migrati tutti i progetti più importanti? Gestire un server Git auto-ospitato non è così difficile ed esistono anche diverse soluzioni piuttosto solide.

Sempre più di tutto ciò che c'è di buono nello sviluppo e nella condivisione di risorse, codice ed esperienza in Open Source e nella comunità, sta lentamente venendo divorato o rovinato e massacrato dalle grandi aziende o dalle fondazioni basate sull'economia. Perché non appena il denaro entra in gioco così tante cose si trasformano in "merda"? Certo, l'avidità è la risposta, ma una domanda ancora più importante di questa è: Perché abbiamo smesso di preoccuparci?

Privacy problemi con Microsoft Github service

  1. MS supporta utenti che abusano della privacy:
    1. Github usa Amazon AWS che scatena diversi problemi di privacy e di etica
    1. (2012) MS ha speso 35 milioni di dollari in pubblicità su Facebook, diventando così il terzo più alto sostenitore finanziario di un famigerato abusatore della privacy quell'anno.
    1. Censura e interferenza del progetto: Lo staff di Github ha apparentemente cancellato un collaboratore che segnalava un abuso della privacy presente in altri progetti. L'ostilità verso i sostenitori volontari della privacy è di per sé un motivo sufficiente per abbandonare Github.
  1. Github potrebbe avere una politica che comporta la censura delle segnalazioni di bug (vedi questo post per la discussione)
  2. Github è ostile a Tor (secondo il progetto Tor, anche se personalmente non ho avuto problemi ad usare Tor per il GH)
  3. La MS è una società PRISM incline alla sorveglianza di massa
    1. La MS fa pressioni per una politica ostile alla privacy:
    1. La MS ha sostenuto lo scambio di informazioni non giustificate della CISPA e della CISA e la CISA è stata approvata.
    1. (2018) MS ha pagato 195.000 dollari per combattere la privacy in CA
  1. MS fornisce il servizio di ricerca Bing che dà un alto grado di ranking ai siti web CloudFlare che abusano della privacy.
  2. MS fornisce il servizio di posta elettronica hotmail.com, che utilizza il vigilante estremista org Spamhaus per costringere gli utenti di Internet residenziali a condividere tutti i loro metadati e-mail e payloads con una terza parte aziendale.
    1. MS fa Drug test ai suoi dipendenti, invadendo così la loro privacy al di fuori del luogo di lavoro.
    1. I prodotti della MS (in particolare Office) violano il GDPR
  3. Per segnalare un bug di sicurezza della MS, è necessario effettuare l'accesso e la pagina di accesso è rotta. È davvero un male per la sicurezza rendere le segnalazioni di difetti difficili da presentare.

Conseguenza dell'utilizzo di Github per un progetto che compromette la privacy:

  1. (conflitto di interessi) seleziona solo i collaboratori disposti a scendere a compromessi sulla privacy, ed esclude coloro che non utilizzeranno GH per motivi di privacy.
    1. (conflitto di interessi) Quando i collaboratori valutano se uno strumento è rispettoso della privacy, mettono nella lista bianca Microsoft e Amazon come conseguenza dell'utilizzo di Github, e poi lo usano come motivazione per sostenere uno strumento indegno.
  2. (effetto collaterale) I sostenitori della privacy che usano Github devono affrontare critiche demoralizzanti per quella che alcuni considerano un'ipocrisia.

Motivazione per rimanere con Github:

Lo sconvolgimento per la migrazione farà perdere i collaboratori.

ALtri Problemi

Altre letture rilevanti: Cosa c'è di sbagliato nell'acquisto di GitHub da parte di Microsoft](https://jacquesmattheij.com/what-is-wrong-with-microsoft-buying-github/)

Alternative

I grandi progetti dovrebbero auto-ospitare i loro repository per rimanere completamente indipendenti, ma esistono alcune soluzioni alternative ai servizi più popolari come GitHub, GitLab e BitBucket (elenco non esaustivo):

Gitea un fork di Gogs gestito dalla comunità - Gitea.it potrebbe ospitare altri progetti focalizzati sulla privacy ed entrare a far parte della struttura di supporto. Centralizzare i progetti focalizzati sulla privacy aumenterebbe la visibilità di Gitea.it e stabilirebbe un luogo dove gli sviluppatori con gli stessi obiettivi di alto livello potrebbero svilupparsi in modo più unitario. I progetti focalizzati sulla privacy presenti su GH e GL risolverebbero il problema dell'ipocrisia che anche questi progetti stanno affrontando.

Codeberg Codeberg è un'organizzazione no-profit tedesca registrata e penso che sia la migliore alternativa. Codeberg non dipende da servizi esterni. Nessun cookie di terze parti, nessun tracciamento. Ospitato nell'UE. Discussione pertinente su Hacker News. Informativa sulla privacy

NotABug NotABug.org è gestito da Peers, un gruppo di persone interessate al software libero e alla società libera. Ma è soprattutto per piccoli progetti. Informativa sulla privacy.

sourcehut sourcehut è attualmente considerato alfa e non rimarrà libero, ma non ha alcun tracciamento o pubblicità. Tutte le funzioni funzionano senza JavaScript. Informativa sulla privacy. Discussione pertinente su Hacker News. Dopo la registrazione si riceve il seguente messaggio: Il pagamento è facoltativo durante l'alfa, ma sappiate che diventerà obbligatorio in seguito. Questo servizio è finanziato dai suoi utenti, non dagli investitori.

Gogs -

OneDev -