パスワードを忘れた? アカウント作成
15242035 story
オープンソース

MimeMagicにGPLのコードが含まれることが発覚、Ruby on Railsがビルド不可に 56

ストーリー by nagazou
GPL問題 部門より
packetroxy 曰く、

ファイルの種類(MIME Type)を識別するライブラリであるMimeMagicで発覚したGPL問題が波紋を広げている。

MimeMagicは従来MIT Licenseでライセンスされるオープンソースソフトウェアであったが、コアとなるマジックナンバー識別データベースのfreedesktop.org.xmlが、GPL v2.0でライセンスされるfreedesktop.org/shared-mime-infoの成果物であることが判明(minad/mimemagic Issue #97)。

GPLでライセンスされるファイルと一体のものとして提供されるソフトウェアは、同じくGPLでライセンスすることが再配布の条件となる。MimeMagicのメンテナは、即座にライセンスをGPL v2.0に変更した新しいバージョンをリリースすると共に、誤ったライセンスを適用していた過去のバージョンをパッケージマネージャーのRubyGemsから取り下げた。

その結果、MimeMagicの過去のバージョンに依存していたソフトウェアがビルドできない事態に発展。著名なWebアプリケーションフレームワーク「Ruby on Rails」もそのひとつで、新しいGPLのMimeMagicを使うのか、別の代替ライブラリを使うのか、オンザフライで識別データベースを読み込むのか、自前でファイルを識別するのか、難しい判断を求められている(minad/mimemagic Issue #98, rails/rails Issue #41750)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2021年03月26日 19時02分 (#4001681)

    あるいはAGPLじゃなくて

  • by Anonymous Coward on 2021年03月26日 21時48分 (#4001792)

    ライセンスを尊重するのは当然として
    問題有りませんよと公開されていたから使ったら実は…で巻き込まれるとかかなわないな
    ソースコードを1行残らず自分で検証(しかも検証するには当然既存のライセンスコード全てを把握しなくてはならない)とか無理だし
    対策はライブラリーを使わず全て自分で書くというこれまた無茶な話になる
    ましてや昨今はライブラリーが巨大になって内部で呼び出している他のライブラリーが多数存在して個々にライセンスが違ったりと権利関係をちゃんとしようと思ったら実質的に使えない

    • by Anonymous Coward

      指先が触れただけで全身が汚染されてしまう様は端的に言って汚物
      もうエンガチョすべき時でしょう

    • by Anonymous Coward

      GPLで公開されているライブラリを使ってGPLで公開すればいいんですよ。

      • by Anonymous Coward

        何と何が互換性あるか知らないんだけど、
        別にGPLだって、それで開発してたはずなのに中に非互換のライセンスが混ざってたら困るんでない?

        一時期のKDEはそういう話でいいんかいな。以下はdebianとしての言い分
        https://www.debian.org/News/1998/19981008.ja.html [debian.org]

        • by Anonymous Coward

          GPLと称して公開されていたものが年間1万ドルのライセンスがかかるようなものが混入して成果物の破棄か混入から発覚までの期間のライセンス料を請求されたら大変だな

          件の代物はライセンスを変更しても大丈夫なんだろうか。クレームが来たところのライセンスに合わせましたって安直なことしてるなら危険だと思うけど。

          • by Anonymous Coward

            MimeMagicについてのことなら、MITライセンスはGPLと両立する(互換性がある) [gnu.org]ので変更自体は問題ないと思われ。
            また、GPLは合理的な範囲で違反状態を解消する努力をすれば罪に問わない条項があるので、不法期間のライセンス料を請求されたりはしないはず。
            KDEのような逆パターンでどうなるかはその非互換のライセンスによる。

      • by Anonymous Coward

        GPLだってバージョンごとの互換性が結構複雑なので

        http://gplv3.fsf.org/dd3-faq#gpl-compat-matrix [fsf.org]

        単純にGPLどうしだからOKだとはならないところが難しい

      • by Anonymous Coward

        GPLとは何の関係もなく、他人が書いた(と称している)ライブラリ一般の話だが? 元コメントもGPLとは一言も言っていないし

      • だまされたという口調で、
        「金輪際使わない」と日経に掲載すれば、
        おそらく許されますよ

    • by Anonymous Coward

      ライブラリの依存性を管理するツールなら、使われてるライセンスもまとめて表示してくれる機能あるだろ
      たしかに数は多いから手間だが、同レベルの機能を自分で書く手間とは比べものにならない
      自社のWebサービスとかだとコードの利用者が自分らだけで、そんなに困らなかったりするし
      (バレないって意味ではなく、再許諾とか考えなくていい)

      実害で言うなら、ライセンスよりむしろマルウェアの方だわ…有名パッケージでも実際に混入事件とか起きてんのに
      みんな怖くないのかな

      • by Anonymous Coward on 2021年03月28日 2時06分 (#4002342)

        パッケージとしては"MIT"だと言っているライブラリに含まれるあるファイルが
        GPLでライセンスされていたものだったという話なのだから、
        「使われてるライセンスもまとめて表示してくれる機能(当然 "MIT" と表示する)」では検出できないですね

        親コメント
        • by Anonymous Coward

          しかもややこしいことに、
          あるファイルがGPLでライセンスされているソフトウェアのものだったとしても、
          GPL以外でライセンスされているかは分からない。

      • by Anonymous Coward

        Node.jsとか依存関係がヤバすぎて何度も騒ぎ起きてるしな。

    • by Anonymous Coward

      こういう、「問題ないライセンスですよ」って記載があるライブラリを使ってたら後から「実は問題ありました」となった場合って、使った側は善意の第三者って事で許されたりしないんでしょうか。
      裁判とか次第なのかな。

      • by Anonymous Coward on 2021年03月28日 18時10分 (#4002521)

        クリエイティブ業務に関わる皆さまへ有料写真、インターネット上の無断使用で著作権侵害が認められ勝訴|株式会社アマナイメージズ 株式会社アマナのプレスリリース
        https://www.atpress.ne.jp/news/71125 [atpress.ne.jp]

        本判決では、著作権等の侵害について、単なる過失にとどまらず、少なくとも未必の故意があったと認めました。これは、Web制作経験を有していた被告従業員の経歴及び立場に照らして、「著作権等の侵害を惹起する可能性があることを十分認識しながら」あえて使用行為に及んだと認定したものであり、クリエイティブ業務に従事するプロフェッショナルとして、権利関係の確認を怠って安易に著作物を無断使用した場合に、「有料の写真とは知らなかった」「違法とは思わなかった」などの言い訳がおよそ通用しないことを裁判所が認めたと考えられます。

        この判例に準じるならば、どの程度ライブラリのライセンス状態を確認して問題がないことを確信して使ったかによると思われ。
        「配布元は問題ないと言ってるけど、下手に探ると藪蛇になりそうだから自分では調べないでおこう」は未必の故意でアウト。
        今回問題になったfreedesktop.org.xmlも中にGPLのライセンス通知がしっかり書いてあるんで grep License /* してみれば分かったはず。
        普通そこまでしないだろというツッコミはあるにしても、権利者が泣き寝入りしないためにも、一定の責任は使用者に求められるよね。

        親コメント
  • by Anonymous Coward on 2021年03月26日 23時06分 (#4001832)

    もうMITライセンスに戻ってる

  • by Anonymous Coward on 2021年03月27日 6時23分 (#4001888)

    3/25以降0.3系と0.4系に分かれた上ものすごい勢いでバージョンが上がりまくってて草

  • by Anonymous Coward on 2021年03月26日 18時14分 (#4001644)

    件のデータの詳細は分からないけど、誰が作っても同じになるようなデータの集合体に、ライセンスなんて適用出来るの?
    例えば数字とアルファベットのペアのデータベースにライセンスあったら、PCの存在そのものが壊滅するよね。

    • 一般に考えられている著作物の定義と比べて、裁判を起こした時に著作権の侵害が認められる範囲がかなり狭いのは事実ですね。

      親コメント
    • by Anonymous Coward on 2021年03月26日 18時21分 (#4001649)

      誰が作っても同じになるなら創作性がないから著作権はないだろう

      ちなみに質問とは全然関係ない話だが、今回問題になったデータは現物みりゃ分かるように「誰が作っても同じ」になるようなものじゃない

      親コメント
      • by Anonymous Coward

        地図なんかはどうなんだろう。
        あれは記載する建物名とか線の描き方、色くらいしか
        創作性はないような。線の描き方の手法に著作権が
        発生するとも思えないし。

        • by Anonymous Coward on 2021年03月27日 6時34分 (#4001891)

          視認性を挙げるための配色等に創作性があるので著作物です。
          単なる表であっても見やすい並べ方をしているといった工夫があると、著作物になるはず。

          親コメント
          • by Anonymous Coward

            という事はデータ抜いて適当にソートすれば失われるって事かな

    • by Anonymous Coward

      全く関わりなく作られた2つの作品が偶然同一になったとして、
      その場合はどちらにもバラバラに著作権が認められるし、
      お互いに著作権侵害になることはないよ。

      先に取られてたら偶然似るのも許されない特許とは違う。

    • by Anonymous Coward

      どーなんですかね
      私も現物は知りませんが
      https://forest.watch.impress.co.jp/docs/shseri/copyright/1009231.html [impress.co.jp]

  • by Anonymous Coward on 2021年03月26日 19時05分 (#4001684)

    さっぱりわからんけど昔のruby on rails使ってると後ろ指指されるの?

    もう二度とrubyのマイグレーションはしたくないruby嫌い

    • by Anonymous Coward on 2021年03月26日 23時01分 (#4001829)

      Railsを使ってるだけならセーフ
      Railsを含む環境を販売(再配布)している商社なんかはソースコードの請求に応じる義務が生じる
      Github Enterpriseがそれで対応どうすんのって話になってる

      親コメント
    • by Anonymous Coward

      rubyを使ってると後ろ指さされる

      • by Anonymous Coward

        そういやrubyって一時期より随分下火になった気がするなあ。
        使ってないから知らないけど。

      • by Anonymous Coward

        rubyを使ってると後ろ指さされる

        これだからルビーの指わ
        て言われるのか

        # く~も~り~ガラスの向こうは~

    • by Anonymous Coward

      そんな生易しいものではないのでは。
      当然、ソースを公開しなさいと迫られるでしょう。

    • by Anonymous Coward

      ほかの言語でもなくはないけれど、Rubyは良くするためには互換性をバッサリ切る傾向が強いからアップグレードのときとかなかなかしんどいですよね。

      • by Anonymous Coward

        そうかなあPythonでいうところの2.7->3.0の壁を
        Rubyは1.8->1.9でわりとすっきり乗り越えられたのでとても評価している

        # Rustなんか大変だぜ

        • by Anonymous Coward

          Ruby本体とRails周辺は文化圏が分かれている。互換性をバッサリ切るというか変更が速いのはRailsエコシステム。Ruby本体は比較的穏当。

typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚

読み込み中...