Server-Code des Signal-Messenger auf GitHub veraltet

In letzter Zeit migrieren angeblich Millionen von Anwendern von WhatsApp zu Signal. Die Frage, ob das unter Open Source-Gesichtspunkten die richtige Entscheidung ist, stellt sich gerade jetzt wieder. Es erscheint nämlich derzeit so, als ob der serverseitige Code, der auf GitHub zu finden ist und unter der GNU AGPL steht, nicht der Code ist, der von der Firma Signal Messenger LLC aktuell als Server eingesetzt wird, wie die Webseite Linuxreviews berichtet.

Seit 11 Monaten nicht aktualisiert

Anlass zu dieser Vermutung gibt die Tatsache, dass der Code auf GitHub am 22. April 2020 zum letzten Mal aktualisiert wurde. Allerdings wurde auch in der Vergangenheit der Code nur einmal im Jahr aktualisiert. Auf Reddit ist zu lesen, dass einige APIs im Produktivbetrieb laufen, die nicht auf GitHub zu finden sind. Auch auf Twitter wird derzeit Druck aufgebaut, um die Signal-Betreiber zu einer Erklärung zu bewegen.

The server code of @signalapp has not been updated for 10 months!
This has repeatedly been questioned and there has been 0 response by @signalapp #opensource ?
Collection of threads on Reddit: https://t.co/rDk5CWGgcL
Twitter thread here: https://t.co/kZSBDLHQVl
— Felix A. Epp 💜🇪🇺 (@eppfel) March 3, 2021

Produktiv genutzter Quellcode muss öffentlich sein

Damit ist der Code, der derzeit im Produktivbetrieb läuft, nicht quelloffen, denn die GNU AGPL sagt ganz klar, dass der Quellcode für Anwender zugänglich sein muss, auch wenn die Software lediglich auf einem Server als Dienst betrieben wird und nicht direkt zum Download bereitsteht. Das Kuketz-Blog hat bereits vor zwei Monaten über dieses Verhalten berichtet und die ursprüngliche Bewertung in seinem Ampelsystem von Grün auf Gelb zurückgestuft.

Transparenz erzwingen

Es gibt von der Firma Signal Messenger LLC keinerlei Informationen, warum der aktuelle Code nicht auf GitHub eingepflegt wird. Es kann aus entwicklungstechnischer Sicht durchaus Gründe dafür geben, aber als Unternehmen, das seinen Dienst als Open Source bewirbt, ist es schlechter Stil, die Anwender über das Warum im Dunkeln zu lassen. Vielleicht verhilft ja hier etwas Öffentlichkeit zu mehr Transparenz.

Keine Auswirkungen auf die Clients

Anwender der mobilen Clients sowie der Desktop-App des Signal-Messengers müssen sich derweil keine Sorgen machen, denn alle Clients sind Ende-zu-Ende verschlüsselt (E2EE) und diese Verschlüsselung findet clientseitig statt. Das Signal-Protokoll gilt im Übrigen als sehr sicher und wird auch von anderen Messengern wie Wire oder WhatsApp verwendet.