Vlákno názorů k článku
Rocky Linux a AlmaLinux reagují na omezení přístupu ke zdrojovým kódům RHEL
od Saljack - opětovné publikování zdrojů získaných prostřednictvím zákaznického portálu bylo...
-
opětovné publikování zdrojů získaných prostřednictvím zákaznického portálu bylo porušením ujednání
Tohle ale nejde nijak omezovat, pokud je ten kód pod GPL. Nelze licenci nijak omezovat. Pokud na RHEL (s GPL) někdo postaví nějaké řešení pro třetí stranu, tak má povinnost zdrojové kódy pod GPL poskytnout. -
Jenže Red Hat neomezuje vydávání zdrojových kódů, ty budou nadále k dispozici přes repozitáře CentOS Stream. V podstatě se omezí především updaty minor verzí, které se vydávají pro již vydané verze. K těm bude složitější přístup a bude jasné, kteří zákazníci stahují které zdrojové kódy.
Asi žádný běžný zákazník nepotřebuje stáhnout a rekompilovat úplně všechny balíky. Jak a jestli omezí ty, kteří to dělají, si netroufám odhadnout.
-
Ano, pokud ziskate zdrojaky pod GPL licenci, muzete tyto dale pod GPL licenci sirit, to nelze zakazat.
Je ale mozne ze podobnym "sdilecum" ale RH zrusi ucet na zakaznickem portalu, cili sdileni utne uz v pocatku rovnou dalsim neposkytnutim produktu.
Otazka je k cemu to povede a jestli to je dobry napad.
-
KateStříbrný podporovatel
To už je spíš otázka na právníka, ale není přesně tohle další restrikce / podmínka přidaná k GPL, kterou GPL výslovně zakazuje? Podle mě ta část GPL zakazující dodatečná omezení šíření má cíl bránit přesně tomuhle "Jestli to budeš šířit, už od nás nic nedostaneš" chování.
-
Asi by muselo zároveň dojít k ukončení předplatného. Tím by už daný zákazník nebyl uživatelem a neměl by tedy ani právo na zdrojáky. Stávají se případy, kdy předplatné ukončí Red Hat a zákazníkovi vrátí peníze.
Tím nechci říct, že se to bude dít i z tohoto důvodu, jen, že teoreticky by se to tak asi dalo udělat. Právník ale taky nejsem.
-
Jak už jsem psal včera pod jinou zprávičku, nevím. Včera poslala vysvětlení (z toho techničtějšího pohledu) do mailing listu Fedory Alexandra Fedorova.
-
Ne i kdyby mu Red Hat ukončil předplatné a vrátil mu peníze, tak mu stejně musí poskytnout zdrojové kódy k tomu co ten zákazník "stáhnul".
Nejsem právník, ale asi i to ukončení předplatného z takového důvodu by porušovalo GPL. Protože i ten zákazník má povinnost ty zdrojové kódy poskytnout.Shodou náhod jsme něco podobného teď taky řešili. Dodavatel nám nechtěl poskytnout zdrojové kódy které jsou pod GPL. Podmiňoval si zveřejnění objednáním x kusů produktu a podepsáním, že zdrojové kódy nebudou zveřejněny.
23. 6. 2023, 17:25 editováno autorem komentáře
-
Filip JirsákStříbrný podporovatelMýlíte se, je řečeno jak a váš postup by licenci v dnešní době nevyhověl.
-
Nejsem právník, ale kdysi jsem na nějakém fóru narazil diskuzi o GPL. Když si stáhnu pod GPL nějaký zdrojový kód a upravím ho pro svoji potřebu, tak musím ty úpravy zveřejnit? Užívám ho jen já a nikdo jiný. Je asi jedno, jestli je to jednotlivec, nebo firma. Takže asi zveřejnit nemusím. O aplikaci je zájem a já se rozhodnu to distribuovat pomocí podpory toho softu. Zákazník neplatí za ten software, ale za službu. Kdo bude platit službu, tak dostane zdrojový kód. Ostatní to přeci nepoužívají a já jsem splnil GPL licenci pro své zákazníky. Jestli někdo ze zákazníků bude distribuavat tento software dál, vypovím mu službu a má po aktualizacích. Zůstane mu aktualní soft. Já zatím udělám pár update, ale to je přeci vývojová verze a já nemůžu riskovat, že někdo dojde k nějaké ztrátě a zažaluje mě. Nehledě na to, jestli to musím zveřejnit hned, za den, za měsíc, nebo půl roku. Za půl roku, nebo rok zveřejním zdrojový kód mého softu, ale můj soft už je jinde. Vlk se nažral a koza zůstala celá. Z mé hlavy to není, ale jak jsem psal výše, někde jsem to četl v diskuzi.
-
Když si stáhnu pod GPL nějaký zdrojový kód a upravím ho pro svoji potřebu, tak musím ty úpravy zveřejnit? Užívám ho jen já a nikdo jiný.
Ne, nemusíte, to je jen takový hojně rozšířený omyl. Zjednodušeně řečeno je to tak, že tomu, komu dáte k dispozici binárky, musíte dát k dispozici i odpovídající zdrojáky. Dokonce ani to ne proaktivně, ale jen pokud si je vyžádá. V praxi je samozřejmě nejrozumnější, pokud jde o klasické zveřejnění, zveřejnit rovnou i zdrojáky, pokud možno na stejném místě. Ale pokud upravený software používáte jen vy sám, nemusíte zdroják dávat vůbec nikomu.
Podobně pokud je to úprava na zakázku pro jednoho konkrétního zákazníka, má právo na zdrojáky jen ten jeden konkrétní zákazník, který to od vás dostal, nikdo jiný. Jestli se pak rozhodne je šířit dál, je už čistě na jeho uvážení. Opět ale platí, že komu poskytne binárky, ten má právo po něm požadovat i zdrojáky. (Zdůrazňuji "po něm", tedy ne po vás, po vás má právo je chtít jen ten, kdo má od vás binárky.)
-
Filip JirsákStříbrný podporovatel
Zákazník neplatí za ten software, ale za službu. Kdo bude platit službu, tak dostane zdrojový kód.
Když software budete provozovat přes síť, tj. zákazník žádné binárky nedostane, nemusíte mu zpřístupňovat ani zdrojové kódy (bavíme se o GNU GPL).Jestli někdo ze zákazníků bude distribuavat tento software dál, vypovím mu službu a má po aktualizacích.
V případě, že jste to poskytoval jako službu (ne jako software), tj. zákazníkům jste zdrojáky poskytoval dobrovolně, udělat to můžete. Ale nemá to nic společného s GPL. Pokud byste ale zákazníkům poskytoval binárky, povinnost zpřístupnit jim zdrojáky máte z GPL, a tato povinnost nesmí být ničím dalším omezována. Tedy ani tím, že přestanete poskytovat podporu.Nehledě na to, jestli to musím zveřejnit hned, za den, za měsíc, nebo půl roku.
Když poskytujete software jako službu, GPL vás nenutí dávat k tomu i zdrojáky. Když poskytujete přímo software (binárku), musíte umožnit získat zdrojáky hned, když distribuujete tu binárku. -
KateStříbrný podporovatel
Právě to je otázka, povoluje GPL takové chování? (Zrušení předplatného při sdílení)? Mám takový dojem že o tom byly dohady už u grsecurity.
-
Samozrejme, to zalezi na konkretnich podminkach.
Ale obecne pokud cokoliv jiz ziskate pod GPL licenci, uz vam to nikdo nikdy nevezme. Je to uplne stejny princip jako projekty ktere bylo open source ale rozdelily se a vznikla komercni a free varianta - nove vydane komercni verze uz zdrojaky nezverejnovali (nejakym zpusobem) ale co bylo do te doby vydano pod GPL tak zustalo otevrene.
Realne tedy i pokud vam RH z nejakeho duvodu zrusi ucet (coz je ciste jen ma osobni spekulace, nerikam ze se to stane) tak co uz mate "doma" pod GPL to uz je vase, ale nedostanete se k tem aktualizacim - novemu kodu - ktery vyjde az potom.
A o to asi jde - aby klony nemohly snadno prebirat aktualizace RH. Nebo aby to alespon bylo nejak stizene, tj. pokud mate produkcni system a potrebujete zaplatovat 0 day zranitelnosti, tak aby platici zakaznici dostali aktualize vcas ale ti co se vezou je dostali s maximalnim spozdenim (nebo nejlepe vubec).
Toto by se samozrejme dalo osetrit i tak ze by zdrojaky aktualizaci byly verejne zverejnovany s nejakym odstupem, treba 14 dni, s tim ze platici zakaznici by je meli okamzite. To by bylo mnohem elegantnejsi a nedalo by se to tak snadno napadat.
Muzeme se samozrejme dohadovat nakolik to je legalni/eticke a podobne. Nicmene je fakt ze pokud RH udela tu praci a vyda aktualizace (coz je celkem narocne na zdroje) tak chce aby platici zakaznici byly nejak zvyhodneni - coz je celkem logicke rekl bych.
Ono taky je treba vnimat rozdil mezi vylozenymy parazity typu Oracle Linux a "hobby" projekty typu Scientific Linux.
-
> Toto by se samozrejme dalo osetrit i tak ze by zdrojaky aktualizaci byly verejne zverejnovany s nejakym odstupem, treba 14 dni, s tim ze platici zakaznici by je meli okamzite.
To se už dávno děje, ale neni to kvůli penězům ani politice. Na embargované CVE se nesmí zveřejňovat opravy dokud embargo neskončí.
- RHEL ty opravy vydává okamžitě první den po konci embarga, protože balíky jsou nachystané dopředu.
- CentOS Stream je vydává hned potom jak ten commit probublá skrz systém. Takže s malým zpožděním.
- A ostatní (Oracle, Alma, Rocky) si musí všimnout a tu aktualizaci převzít. Takže s ještě větším zpožděním.
