OpenMandriva обвинила разработчика Mumble в саботаже дистрибутива после внутреннего конфликта

Дистрибутив OpenMandriva опубликовал на своём форуме заявление о попытке саботажа проекта изнутри. Разработчик Давиде Беатричи (Davide Beatrici), известный по работе над мессенджером Mumble, некоторое время назад присоединился к команде OpenMandriva. Команда доверяла ему без колебаний, его репутация была настолько хорошей, что никто не ожидал подвоха, хотя сам Давиде вносил в код дистрибутива сравнительно немного изменений. Он предложил перенести инфраструктуру репозиториев проекта с GitHub на собственный приватный сервер OneDev и в рамках этого сделал резервную копию (зеркало) нескольких десятков репозиториев OpenMandriva. У части команды это решение вызвало сомнения: люди не хотели отдавать репозитории в частные руки одного человека и предпочитали публичную инфраструктуру вроде GitHub.
Вместе с Давиде в проект пришли ещё два человека, и именно с этого момента начались проблемы. Через некоторое время один из них стал вести себя агрессивно по отношению к отдельным пользователям и участникам дистрибутива, из-за чего часть людей покинула проект. Не обо всех случаях команда узнавала сразу: многие оскорбления происходили в личных сообщениях. Когда в общем чате и на GitHub атаковали ещё одного участника, автор заявления решил вмешаться и исключил агрессора из чата в Matrix для канала OpenMandriva-Cooker, не заблокировал его полностью и не запретил дальнейшее участие в проекте, а лишь удалил из одного канала. Автор признаёт, что стоило отреагировать раньше, ещё когда часть людей уходила из-за поведения этого человека, и приносит извинения всем, кто пострадал от такой агрессии.
Это решение запустило цепную реакцию: в знак протеста из проекта ушли ещё два человека, включая самого Давиде, друга исключённого агрессора. Не видя больше смысла поддерживать зеркало на приватной инфраструктуре Давиде, автор заявления разорвал с ней связь, по крайней мере для тех пакетов, зеркала которых были под его собственным управлением как мейнтейнера. Это разозлило Давиде настолько, что он, воспользовавшись сохранившимися у него административными правами, тем же утром устроил саботаж дистрибутива: удалил часть репозитория OpenMandriva на GitHub, результаты многолетней работы команды, причём над частью этого кода сам автор заявления работал целое десятилетие, которое, по его словам, закончится в сентябре 2026 года. Кроме того, Давиде опубликовал в репозитории разработки Cooker пустой пакет, из-за которого устаревшими разом были помечены все пакеты GNOME и Cosmic, это могло повредить системы пользователей, установивших эти окружения рабочего стола.
На момент публикации заявления команда OpenMandriva восстанавливала удалённые репозитории и работоспособность пакетов, помеченных как устаревшие. Авторы пишут, что публикуют эту историю ради прозрачности перед сообществом и чтобы предупредить open-source-сообщество о Давиде Беатричи (известном, среди прочего, по работе над Mumble), чтобы другие проекты не повторили их ошибку. Команда называет действия Давиде недопустимыми и постыдными и отмечает, что могла бы подать на него в суд, поскольку эти действия подпадают под уголовное преступление, но решила этого не делать. По итогам полного аудита системы, помимо удалённых пакетов, других нарушений не обнаружено.
Ключевые факты
- Давиде Беатричи, известный по работе над мессенджером Mumble, присоединился к команде OpenMandriva, получил доверие и административный доступ и предложил перенести репозитории проекта с GitHub на свой приватный сервер OneDev, сделав зеркало нескольких десятков репозиториев.
- Один из двух человек, пришедших в проект вместе с Давиде, начал агрессивно вести себя с участниками и пользователями, часть команды из-за этого ушла; после очередной атаки в чате и на GitHub агрессора исключили из Matrix-чата канала OpenMandriva-Cooker.
- В знак протеста против исключения агрессора Давиде и ещё один человек покинули проект; автор заявления в ответ разорвал связь с зеркалом репозиториев на приватной инфраструктуре Давиде.
- Разозлённый Давиде, используя оставшиеся административные права, удалил часть репозиториев OpenMandriva на GitHub (плоды работы вплоть до десяти лет) и опубликовал в репозитории Cooker пустой пакет, из-за которого устарели все пакеты GNOME и Cosmic, с риском повредить системы их пользователей.
- Команда восстанавливает репозитории и пакеты, отказалась от судебного иска против Давиде, хотя называет его действия уголовным преступлением, и не нашла других нарушений при полном аудите системы.
Почему это важно
История показывает конкретный случай угрозы изнутри open-source-проекта: человек с давней хорошей репутацией в сообществе (благодаря проекту Mumble) получил доверие и административный доступ в другом проекте почти без проверки, а после конфликта использовал оставшиеся права для целенаправленного саботажа, удалил часть репозиториев и вывел из строя пакеты сразу для двух окружений рабочего стола, GNOME и Cosmic. Это не абстрактный риск внешней атаки, а пример того, как решения о доверии и модерации внутри команды могут обернуться реальным ущербом для пользователей дистрибутива.
Кому это важно
В первую очередь, пользователям OpenMandriva с GNOME или Cosmic, у которых после публикации пакета от Давиде могли перестать нормально обновляться системы. Также это важно мейнтейнерам других open-source-дистрибутивов и проектов, которые решают, доверять ли внешним контрибьюторам зеркалирование репозиториев на сторонней инфраструктуре и как быстро отзывать административные права при конфликтах. И, наконец, это прямое публичное предупреждение сообществу о Давиде Беатричи для всех, кто мог бы работать с ним в других проектах.
Как это применить
Из истории следует практический урок для мейнтейнеров других проектов: не концентрировать единственную актуальную копию или зеркало репозиториев на приватной инфраструктуре одного внешнего участника, оперативно отзывать административные права при уходе человека из проекта или при конфликте, а не оставлять их «на всякий случай», и реагировать на жалобы на агрессивное поведение до того, как из-за бездействия начнут уходить люди. Пользователям OpenMandriva с GNOME или Cosmic стоит проверять состояние обновлений пакетов, прежде чем накатывать апгрейд, пока команда не подтвердит, что репозитории и пакеты полностью восстановлены.
Можно ли доверять
Это официальное заявление самого проекта OpenMandriva, опубликованное на форуме от лица одного из его участников (судя по тексту, человека с правами мейнтейнера), то есть первоисточник произошедшего, а не пересказ третьей стороны. Но это лишь одна сторона конфликта: версии самого Давиде Беатричи или двух других упомянутых участников в тексте нет, независимой проверки деталей извне тоже не приводится. Публикация уже собрала заметный отклик на Hacker News, 88 очков и 16 комментариев на момент подготовки материала.
Риски и подводные камни
Главный риск для читателя, односторонность истории: перед нами версия команды OpenMandriva без комментария Давиде Беатричи и без независимого расследования случившегося. Для пользователей дистрибутива с GNOME или Cosmic есть практический риск столкнуться с неработающими или устаревшими пакетами, пока восстановление не завершено полностью. Кейс также обнажает системный риск для open-source-проектов в целом: зависимость критической инфраструктуры от приватного сервера одного внешнего участника и от административных прав, которые не отозвали вовремя после начала конфликта.
«Мы понимаем, что действия Давиде были недопустимыми и постыдными и что мы могли бы подать на него в суд, поскольку его действия представляют собой уголовное преступление, но мы решили этого не делать.»
— Из официального заявления OpenMandriva на форуме проекта