国産OSS脆弱性スキャナ「Trivy」、競合企業に買収され開発者も同社に雇用されることに 60
ストーリー by hylom
持続可能なOSSの答え 部門より
持続可能なOSSの答え 部門より
趣味でセキュリティ関連ソフトウェアを開発しオープンソースとして公開したエンジニアの下に、海外のセキュリティ企業からソフトウェアの譲渡や雇用のオファーが来たそうだ。このエンジニアがブログでその経緯を説明している(knqyf263's blog)。
このソフトウェアは「Trivy」という、「コンテナ」と呼ばれる仮想化システム向けの脆弱性スキャンツール。簡単に指定したコンテナ内の脆弱性をスキャンでき、精度も既存のものと比較して高いとされ、公開後国内外で話題となった。
今回このTrivyを買収したのは、米国やイスラエルに拠点を持つAqua Securityという企業。Trivyの比較対象になるようなツールを提供している企業であるが、この企業のCTOから作者の元に連絡が来て、その後ソフトウェアの買収や、同社での雇用がオファーされたという。
最終的にTrivyはAqua Securityに売却されることとなり、作者も同社に雇用されることになったとのこと。Aqua Securityではこのソフトウェアのメンテナンスやそのほかオープンソースソフトウェアの開発を行うことになるという。
いい話だ (スコア:2, 興味深い)
自分が作ったものを正当に評価してくれる人がいる。
買収に納得できる対価を提示され、買収後も自分がやりたいことを続けられる。
本当にいい話だ。
Re: (スコア:0)
映画のようなサクセスストーリーですよね。
まだまだこういう話もあるんだなぁ。
Re: (スコア:0)
安く買いたたかれる映画ってあったっけ
Re: (スコア:0)
ブログ記事読む限り、Google翻訳を使って書いた英語文をREADMEに載っけてオープンソースとして公開するのはグレーなので、あとで問題になりそうですね。
Re: (スコア:0)
どこを読んだらそうなるのか、教えてほしい。
Re: (スコア:0)
横から失礼。
>どこを読んだらそうなるのか、教えてほしい。
「Google翻訳を使って書いた英語文をREADMEに載っけてオープンソースとして公開する」←ブログ記事を読んで得た知識
「グレーなので、あとで問題になりそうですね。」#3672290の感想
Re: (スコア:0)
結局誰も元記事すら読まずにコメントにマウントとりたいだけの書き込みしかないのかよ。
とあるし、Google翻訳を使いながらREADMEの英文を書いたとある。
Wikipediaのように合意していればランセンス接触せずに使えるけども、Google翻訳で訳した文をAGPLライセンス(初期バージョンではMIT)で配布することはできないのだから、あえて指摘できることを書かない方が良かったんじゃないのかと思うけど。
READMEの履歴で他の人に少し直されてるけど、文章としては通じるしあまり問題はない。
Re: (スコア:0)
Google翻訳で訳した文をAGPLライセンス(初期バージョンではMIT)で配布することはできない
これの根拠を教えてほしい。見つからないんだよ。
GPLやMITライセンスの文章をGoogleサービスにつっこんではいけないのはわかってるけど、
この人は原作者なんだからこれは関係ない。
Re: (スコア:0)
元文の原作者かどうか関係なく、翻訳かけて出てきた文章はGoogleのものになるんだから、
それを一切使わないで書いたなら問題ないけど、使っているのならダメでしょ。
Re: (スコア:0)
「Googleのものになる」ってどういうこと?
このへんにいいかげんな言葉を使うと、まったく話にならない。
たとえばGoogleに非独占的な権利を与えるだけなら、自分はGPLで公開できる。
Re: (スコア:0)
まったく話にならないのはお前だ。
>たとえばGoogleに非独占的な権利を与えるだけなら、自分はGPLで公開できる。
著作権への言及としてまったく意味をなしてない文章だ。
知ってる言葉をなんとなく並べたのがバレバレで噴飯ものだ。
著作権への無知まるだしで何故そこまで自信満々になれるんだ。
Re: (スコア:0)
Googleの利用規約の一行すら出せないで「Googleのものになるんですぅ~」とかデマ吹くから笑われてるんでしょ
Re: (スコア:0)
> Googleの利用規約の一行すら出せないで「Googleのものになるんですぅ~」とかデマ吹くから笑われてるんでしょ
元ACではないが・・・
翻訳物の著作権については明記していないが、
アップロードしたものはGoogleに対して「表示、および配布を行うための全世界的なライセンスを付与することになります。」とあるね。
# 長いので原文見てね
https://policies.google.com/terms?hl=ja [google.com]
その他関係機関等の見解
文科省 機械翻訳に対する著作権は発生しない見解(ただし平成5年の小委員会)
http://www.cric.or.jp/db/report/h5_11_2/h5_11_2_main.html [cric.or.jp]
エキサイト翻訳 翻訳結果をウェブサイトの制作に用いること自体禁止(6条)
https://www.excite.co.jp/world/agreement/ [excite.co.jp]
弁護士ドットコム 機械翻訳された文であっても二次的著作物の見解?
Re: (スコア:0)
「非独占的ライセンス」というものがあってな。
Re: (スコア:0)
ちょい前に、 OSSの翻訳プロジェクト多数で「翻訳」していた奴が実が機械翻訳丸パクリ、パクリ元を増やして誤魔化せば合法とかデタラメ指南を書いていて問題になった事件があった [atwiki.jp]んだよ。
プロジェクトで著作権を持つタイプのOSSでは、全ての著作権者に二次利用の確認済みで問題なく使えるという前提が崩れる。当該人物は除名だかなんだかされたようだが、個人のソフトとは問題の重さが違う。一方で、実際にGoogleやMicrosoftが機械翻訳結果の著作権を主張して止めに来るかというと、下手に司法に手
Re: (スコア:0)
BumpTopを思い出しますね。
Re: (スコア:0)
とりあえず食い殺したろの精神
Re: (スコア:0)
この買収した企業は作者調べでは最下位の性能で、買収された作者製ツールが業界最高性能ということになってる。
企業の側からしてみれば「何年と何千万円をかけて最高の社員を揃えて作った主力製品が日本人のフリーソフトに負けた。
明日から一本も売れなくても不思議はない」ってことだから倒産の危機でもあったと思う。
Re: (スコア:0)
そして作者に内緒でマルウェア仕込まれるんだろ?どこかで聞いた話だな。
Re: (スコア:0)
イスラエルなんで丸め込まれて本人がスパイウェア作ってるかも。
Re: (スコア:0)
>正当に評価してくれる人がいる
>本当にいい話だ
自分が住んでる国じゃないところから評価が降ってくるんだもんなw
本当にいい話だ
Re: (スコア:0)
スラド民のケチつけレベルは、Trivy作者のプログラム能力と同じくらい高い。
誰しも一つぐらいは秀でた点があるものだ。
Re: (スコア:0)
ブラウザ拡張でなくて日本語入力メソッドなのでSimejiのことじゃないな
Re: (スコア:0)
えっ?
Re: (スコア:0)
今のところ企業が買ったというところしか共通点がないのに似てるとか(笑
Re: (スコア:0)
Firefoxアドオン開発者のコメント
https://twitter.com/piro_or/status/1163681042160467977 [twitter.com]
>Firefoxアドオンに買収のオファーは時々あったけど、それは単にユーザー数が多い物を買いたいだけ(そして開発は停滞しスパイウェア化する)でしかなかったので、こういう真っ当な話は羨ましいですね
Re: (スコア:0)
Trivyの今後のスパイウェア化をお楽しみに!
丸く収まったんならうらやましい (スコア:2, 興味深い)
セキュリティ関連ではありませんが、その昔、私もとあるフリーソフトウェアを作っておりました。
企業からソフトウェアの一括買収を持ちかけられて応じたところ、そこそこの金額になったため、
その年度の終わりに確定申告をしたら所属企業にバレてしまい、
余暇時間で作っていたものであるにも関わらず、競業禁止のルールが適用されて事実上のクビになってしまいました。
(直属の上司の働きかけにより、なんとか懲戒解雇は避けられましたが・・)
今となっては当時の所属企業も買収先の企業も何も残ってないので、ただの思い出話です。
Re: (スコア:0)
地元の散髪屋の店主に自作ソフトウェアが1000万円で
売れたと聞かされたことがあります。言語はBASIC
だったかな。30年近く前の話ですが。
おめでとう (スコア:0)
明るいニュースだね
Re: (スコア:0)
Simejiを彷彿とさせるね
日本企業に買収されるとポジティブなコメントが40個のうち1個しか書かれないサイト、スラド (スコア:0)
https://srad.jp/story/17/11/21/0920248/ [srad.jp]
このストーリーで祝う書き込みは
https://srad.jp/comment/3316327 [srad.jp]
これ1個だけ
一方、今回はポジティブな書き込みだらけ
なんだこの差は
Re:日本企業に買収されるとポジティブなコメントが40個のうち1個しか書かれないサイト、スラド (スコア:1)
『国産』のたった一言で主観スイッチ入っちゃって
良くも悪くも冷静なコメントが全然できてないんだよ
ここらしい平常反応
Re:日本企業に買収されるとポジティブなコメントが40個のうち1個しか書かれないサイト、スラド (スコア:1)
ORACLEに買われたらポジティブなコメントは1つも書かれないから日本企業の方がマシだな。
Re: (スコア:0)
買収企業にもよるんじゃね?
ソフバンなら80個のうち1個だけ、中韓企業なら400個に1個くらいしかポジティブな意見付かないと思うよ
まあそれだけコメが集まるのは、呼んでもいないのに特アに群がるイナゴ民が集まってくるからなんだけど
Re: (スコア:0)
CASHとTrivyの質の違いからまず考えるべきでは
Re: (スコア:0)
世界が絶賛し、各所で記事になるようなものを日本企業が買収したという話でしたっけ?
同じ条件で、結果が違うというものでお願いします!
Re: (スコア:0)
他人の成功を前提条件関係なく、素直に喜べないやつばっかりだな、普段の生活環境や態度がこういうところで出てくるんだろうね。かわいそう。
Re: (スコア:0)
考えが浅い人はこの時点で成功だと思っちゃうんだな
Re: (スコア:0)
まだ出てきてないだけ。
ケチつけたい人は後から湧いてきて、自分が勝利したと思うまで止めない。
単に安全な位置から批判して悦に入るだけなので、何かないか粗探ししてる最中でしょう。
Re: (スコア:0)
韓国中国だと技術が盗まれて解雇される、ばかりだからましだよ。
単に海外企業の実情を知らない無知なだけだと思うけどね。
タレコミ人ですが (スコア:0)
「国産OSS」「脆弱性スキャナ」のつもりだったけれど「国産」「OSS脆弱性スキャナ」と区切って読むと意味が変わってしまう。自省。
Re: (スコア:0)
えっ「国産OSS脆弱性」「スキャナ」の間違いでは?
Re: (スコア:0)
このツールが何をどうするものなのかまったく見えないんだけど
この老害に教えてはくれませんか。
>簡単に指定したコンテナ内の脆弱性をスキャン
go言語で書かれていて指定されたターゲットが依存しているライブラリなどの
バージョンからwebにある脆弱性情報を集めて表示するもの?
用意した仮想マシンを攻撃して脆弱性をあぶりだす、とは違うんだよね?
Re: (スコア:0)
コンテナに特化した脆弱性スキャナだろ。
プロジェクトのページで動作の概要の gif アニメが見られる。
これで想像つかないのなら、理解を諦めたほうがよろしぃかと
https://raw.githubusercontent.com/aquasecurity/trivy/master/imgs/usage.gif [githubusercontent.com]
Re: (スコア:0)
コンテナってなんのこと?
>「コンテナ」と呼ばれる仮想化システム向けの・・
鍵カッコついてるからそんなに一般的な意味じゃないってことだよね。
Re: (スコア:0)
えぇ・・・
docker とか kubernetes とか Amazon ECS とか聞いたことない感じですかね
まぁ chroot ですよ()
https://www.atmarkit.co.jp/ait/articles/1701/30/news037.html [atmarkit.co.jp]
Re: (スコア:0)
本当に聞きたいことは
> バージョンからwebにある脆弱性情報を集めて表示するもの?
だと思うよ
Re: (スコア:0)
たぶん「コンテナってなに?」とか書いてる人には必要のないものと思われるんで理解できなくても良いんじゃないかな。。。
ご家族ごと (スコア:0)
行き方知れずとかにならない事を祈ります(走召糸色木亥火暴)
(Blascklistとか見過ぎ)
"castigat ridendo mores" "Saxum volutum non obducitur musco"