パスワードを忘れた? アカウント作成
13985448 story
ビジネス

国産OSS脆弱性スキャナ「Trivy」、競合企業に買収され開発者も同社に雇用されることに 60

ストーリー by hylom
持続可能なOSSの答え 部門より

趣味でセキュリティ関連ソフトウェアを開発しオープンソースとして公開したエンジニアの下に、海外のセキュリティ企業からソフトウェアの譲渡や雇用のオファーが来たそうだ。このエンジニアがブログでその経緯を説明している(knqyf263's blog)。

このソフトウェアは「Trivy」という、「コンテナ」と呼ばれる仮想化システム向けの脆弱性スキャンツール。簡単に指定したコンテナ内の脆弱性をスキャンでき、精度も既存のものと比較して高いとされ、公開後国内外で話題となった。

今回このTrivyを買収したのは、米国やイスラエルに拠点を持つAqua Securityという企業。Trivyの比較対象になるようなツールを提供している企業であるが、この企業のCTOから作者の元に連絡が来て、その後ソフトウェアの買収や、同社での雇用がオファーされたという。

最終的にTrivyはAqua Securityに売却されることとなり、作者も同社に雇用されることになったとのこと。Aqua Securityではこのソフトウェアのメンテナンスやそのほかオープンソースソフトウェアの開発を行うことになるという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • いい話だ (スコア:2, 興味深い)

    by Anonymous Coward on 2019年08月20日 19時20分 (#3672270)

    自分が作ったものを正当に評価してくれる人がいる。
    買収に納得できる対価を提示され、買収後も自分がやりたいことを続けられる。
    本当にいい話だ。

    • by Anonymous Coward

      映画のようなサクセスストーリーですよね。
      まだまだこういう話もあるんだなぁ。

      • by Anonymous Coward

        安く買いたたかれる映画ってあったっけ

    • by Anonymous Coward

      ブログ記事読む限り、Google翻訳を使って書いた英語文をREADMEに載っけてオープンソースとして公開するのはグレーなので、あとで問題になりそうですね。

      • by Anonymous Coward

        どこを読んだらそうなるのか、教えてほしい。

        • by Anonymous Coward

          横から失礼。

          >どこを読んだらそうなるのか、教えてほしい。

          「Google翻訳を使って書いた英語文をREADMEに載っけてオープンソースとして公開する」←ブログ記事を読んで得た知識
          「グレーなので、あとで問題になりそうですね。」#3672290の感想

          • by Anonymous Coward

            結局誰も元記事すら読まずにコメントにマウントとりたいだけの書き込みしかないのかよ。

            一つ注意なのですが、良いものを作っても使い方が全く分からなければ使って貰えません。なので、真面目に使ってもらいたいと思ったら使い方をきちんと書くことが重要です。日本人向けなら日本語で良いですが、海外の人にも使ってもらいたければ英語で書くことをおすすめします。自分はGoogle翻訳で雑な英語を書きましたが、それでも何とかなっています。

            とあるし、Google翻訳を使いながらREADMEの英文を書いたとある。
            Wikipediaのように合意していればランセンス接触せずに使えるけども、Google翻訳で訳した文をAGPLライセンス(初期バージョンではMIT)で配布することはできないのだから、あえて指摘できることを書かない方が良かったんじゃないのかと思うけど。
            READMEの履歴で他の人に少し直されてるけど、文章としては通じるしあまり問題はない。

            • by Anonymous Coward

              Google翻訳で訳した文をAGPLライセンス(初期バージョンではMIT)で配布することはできない

              これの根拠を教えてほしい。見つからないんだよ。

              GPLやMITライセンスの文章をGoogleサービスにつっこんではいけないのはわかってるけど、
              この人は原作者なんだからこれは関係ない。

              • by Anonymous Coward

                元文の原作者かどうか関係なく、翻訳かけて出てきた文章はGoogleのものになるんだから、
                それを一切使わないで書いたなら問題ないけど、使っているのならダメでしょ。

              • by Anonymous Coward

                「Googleのものになる」ってどういうこと?
                このへんにいいかげんな言葉を使うと、まったく話にならない。

                たとえばGoogleに非独占的な権利を与えるだけなら、自分はGPLで公開できる。

              • by Anonymous Coward

                まったく話にならないのはお前だ。

                >たとえばGoogleに非独占的な権利を与えるだけなら、自分はGPLで公開できる。

                著作権への言及としてまったく意味をなしてない文章だ。
                知ってる言葉をなんとなく並べたのがバレバレで噴飯ものだ。
                著作権への無知まるだしで何故そこまで自信満々になれるんだ。

              • by Anonymous Coward

                Googleの利用規約の一行すら出せないで「Googleのものになるんですぅ~」とかデマ吹くから笑われてるんでしょ

              • by Anonymous Coward

                > Googleの利用規約の一行すら出せないで「Googleのものになるんですぅ~」とかデマ吹くから笑われてるんでしょ
                元ACではないが・・・

                翻訳物の著作権については明記していないが、
                アップロードしたものはGoogleに対して「表示、および配布を行うための全世界的なライセンスを付与することになります。」とあるね。
                # 長いので原文見てね
                https://policies.google.com/terms?hl=ja [google.com]

                その他関係機関等の見解

                文科省 機械翻訳に対する著作権は発生しない見解(ただし平成5年の小委員会)
                http://www.cric.or.jp/db/report/h5_11_2/h5_11_2_main.html [cric.or.jp]

                エキサイト翻訳 翻訳結果をウェブサイトの制作に用いること自体禁止(6条)
                https://www.excite.co.jp/world/agreement/ [excite.co.jp]

                弁護士ドットコム 機械翻訳された文であっても二次的著作物の見解?

              • by Anonymous Coward

                「非独占的ライセンス」というものがあってな。

          • by Anonymous Coward

            ちょい前に、 OSSの翻訳プロジェクト多数で「翻訳」していた奴が実が機械翻訳丸パクリ、パクリ元を増やして誤魔化せば合法とかデタラメ指南を書いていて問題になった事件があった [atwiki.jp]んだよ。

            プロジェクトで著作権を持つタイプのOSSでは、全ての著作権者に二次利用の確認済みで問題なく使えるという前提が崩れる。当該人物は除名だかなんだかされたようだが、個人のソフトとは問題の重さが違う。一方で、実際にGoogleやMicrosoftが機械翻訳結果の著作権を主張して止めに来るかというと、下手に司法に手

    • by Anonymous Coward

      BumpTopを思い出しますね。

      • by Anonymous Coward

        とりあえず食い殺したろの精神

    • by Anonymous Coward

      この買収した企業は作者調べでは最下位の性能で、買収された作者製ツールが業界最高性能ということになってる。
      企業の側からしてみれば「何年と何千万円をかけて最高の社員を揃えて作った主力製品が日本人のフリーソフトに負けた。
      明日から一本も売れなくても不思議はない」ってことだから倒産の危機でもあったと思う。

    • by Anonymous Coward

      そして作者に内緒でマルウェア仕込まれるんだろ?どこかで聞いた話だな。

      • by Anonymous Coward

        イスラエルなんで丸め込まれて本人がスパイウェア作ってるかも。

    • by Anonymous Coward

      >正当に評価してくれる人がいる
      >本当にいい話だ

      自分が住んでる国じゃないところから評価が降ってくるんだもんなw
      本当にいい話だ

  • by Anonymous Coward on 2019年08月20日 20時13分 (#3672323)

    セキュリティ関連ではありませんが、その昔、私もとあるフリーソフトウェアを作っておりました。

    企業からソフトウェアの一括買収を持ちかけられて応じたところ、そこそこの金額になったため、
    その年度の終わりに確定申告をしたら所属企業にバレてしまい、
    余暇時間で作っていたものであるにも関わらず、競業禁止のルールが適用されて事実上のクビになってしまいました。
    (直属の上司の働きかけにより、なんとか懲戒解雇は避けられましたが・・)

    今となっては当時の所属企業も買収先の企業も何も残ってないので、ただの思い出話です。

    • by Anonymous Coward

      地元の散髪屋の店主に自作ソフトウェアが1000万円で
      売れたと聞かされたことがあります。言語はBASIC
      だったかな。30年近く前の話ですが。

  • by Anonymous Coward on 2019年08月20日 20時20分 (#3672327)

    明るいニュースだね

    • by Anonymous Coward

      Simejiを彷彿とさせるね

  • https://srad.jp/story/17/11/21/0920248/ [srad.jp]
    このストーリーで祝う書き込みは
    https://srad.jp/comment/3316327 [srad.jp]
    これ1個だけ

    一方、今回はポジティブな書き込みだらけ

    なんだこの差は

    • 『国産』のたった一言で主観スイッチ入っちゃって
      良くも悪くも冷静なコメントが全然できてないんだよ

      ここらしい平常反応

      親コメント
    • ORACLEに買われたらポジティブなコメントは1つも書かれないから日本企業の方がマシだな。

      親コメント
    • by Anonymous Coward

      買収企業にもよるんじゃね?
      ソフバンなら80個のうち1個だけ、中韓企業なら400個に1個くらいしかポジティブな意見付かないと思うよ
      まあそれだけコメが集まるのは、呼んでもいないのに特アに群がるイナゴ民が集まってくるからなんだけど

    • by Anonymous Coward

      CASHとTrivyの質の違いからまず考えるべきでは

    • by Anonymous Coward

      世界が絶賛し、各所で記事になるようなものを日本企業が買収したという話でしたっけ?

      同じ条件で、結果が違うというものでお願いします!

      • by Anonymous Coward

        他人の成功を前提条件関係なく、素直に喜べないやつばっかりだな、普段の生活環境や態度がこういうところで出てくるんだろうね。かわいそう。

        • by Anonymous Coward

          考えが浅い人はこの時点で成功だと思っちゃうんだな

    • by Anonymous Coward

      まだ出てきてないだけ。
      ケチつけたい人は後から湧いてきて、自分が勝利したと思うまで止めない。
      単に安全な位置から批判して悦に入るだけなので、何かないか粗探ししてる最中でしょう。

    • by Anonymous Coward

      韓国中国だと技術が盗まれて解雇される、ばかりだからましだよ。
      単に海外企業の実情を知らない無知なだけだと思うけどね。

  • by Anonymous Coward on 2019年08月20日 22時03分 (#3672411)

    「国産OSS」「脆弱性スキャナ」のつもりだったけれど「国産」「OSS脆弱性スキャナ」と区切って読むと意味が変わってしまう。自省。

    • by Anonymous Coward

      えっ「国産OSS脆弱性」「スキャナ」の間違いでは?

    • by Anonymous Coward

      このツールが何をどうするものなのかまったく見えないんだけど
      この老害に教えてはくれませんか。

      >簡単に指定したコンテナ内の脆弱性をスキャン

      go言語で書かれていて指定されたターゲットが依存しているライブラリなどの
      バージョンからwebにある脆弱性情報を集めて表示するもの?

      用意した仮想マシンを攻撃して脆弱性をあぶりだす、とは違うんだよね?

      • by Anonymous Coward

        コンテナに特化した脆弱性スキャナだろ。

        プロジェクトのページで動作の概要の gif アニメが見られる。
        これで想像つかないのなら、理解を諦めたほうがよろしぃかと
        https://raw.githubusercontent.com/aquasecurity/trivy/master/imgs/usage.gif [githubusercontent.com]

        • by Anonymous Coward

          コンテナってなんのこと?

          >「コンテナ」と呼ばれる仮想化システム向けの・・

          鍵カッコついてるからそんなに一般的な意味じゃないってことだよね。

          • by Anonymous Coward

            えぇ・・・

            docker とか kubernetes とか Amazon ECS とか聞いたことない感じですかね
            まぁ chroot ですよ()
            https://www.atmarkit.co.jp/ait/articles/1701/30/news037.html [atmarkit.co.jp]

            • by Anonymous Coward

              本当に聞きたいことは
              > バージョンからwebにある脆弱性情報を集めて表示するもの?
              だと思うよ

            • by Anonymous Coward

              たぶん「コンテナってなに?」とか書いてる人には必要のないものと思われるんで理解できなくても良いんじゃないかな。。。

  • by Seth (1176) on 2019年08月21日 13時02分 (#3672713) 日記

     行き方知れずとかにならない事を祈ります(走召糸色木亥火暴)
    (Blascklistとか見過ぎ)

    --
    "castigat ridendo mores" "Saxum volutum non obducitur musco"
typodupeerror

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

読み込み中...