LINUX.ORG.RU
ФорумTalks

Grsecurity в топку

 , , , ,


0

2

Новость протухла, все использующие вроде должны сами отслеживать ситуацию, но наверняка есть слоупоки. На опеннете выложили не плохую обзорную статейку, а я покопипащу:

10.07.2017 08:30 Grsecurity нарушает лицензию GPL в своих попытках остановить перенос кода в ядро Linux

Брюс Перенс (Bruce Perens), один из авторов определения Open Source, соучредитель организации OSI (Open Source Initiative), создатель пакета BusyBox и один из первых лидеров проекта Debian (в 1996 году сменил на посту Яна Мердока), предоставил свою экспертную оценку действиям проекта Grsecurity, пытающегося противостоять переносу своих наработок в основное ядро Linux. Напомним, что в апреле проект Grsecurity полностью прекратил бесплатное распространение своих патчей и стал всячески препятствовать работе проекта KSPP (Kernel Self Protection Project), занимающегося переносом в основное ядро Linux методов защиты, развиваемых Grsecurity.

Мотивы борьбы с переносом Grsecurity в состав ядра достаточно разнообразные, от обиды из-за обхода в финансировании (вместо основного проекта Linux Foundation и Core Infrastructure Initiative выделили грант KSPP) и копирования решений без упоминания PaX/Grsecurity до нежелания загонять себя в жесткие рамки (Grsecurity достаточно вольно рассматривает вопрос соблюдения совместимости и требований к компонентам ядра, ставя на первое место обеспечение защиты), нежелания разбивать продукт на части (Grsecurity рассматривается как взаимосвязанное единое целое) и репутационных рисков (из-за некорректного переноса исправлений, введения ограничений для совместимости и переработок для соблюдения требований ядра реализация перенесённых в основное ядро технологий Grsecurity содержит ошибки и проблемы с безопасностью, которых нет в оригинальных патчах, что приводит к созданию половинчатых решений и создаёт лишь видимость повышения безопасности).

Так как для подписчиков патчи продолжают публиковаться под лицензией GPLv2, не исключено, что для поддержания реализации технологий Grsecurity в основном ядре и оперативного устранения ошибок, разработчики KSPP отслеживают текущее состояние патчей Grsecurity. Из-за того, что публичный доступ закрыт, источником утечки кода могут стать платные подписчики Grsecurity, которые имеют доступ к коду - так как код патчей под GPLv2 никто не запрещает им распространять эти патчи.

Дошло до того, что представители Grsecurity стали угрожать судебным иском из-за нарушений требований атрибуции (упоминание автора при копировании кода), а также добавили дополнительное условие, запрещающее клиентам передавать патчи третьим лицам под угрозой разрыва договора. Брюс Перенс предупредил, что данный шаг является явным нарушением лицензии GPLv2, которая не допускает наложение дополнительных условий на распространение кода. Так как патчи Grsecurity являются продуктом, производным от ядра Linux, они обязаны поставляться под GPLv2 или совместимой лицензией, не внося дополнительных ограничений.

Введение ограничений на распространение патчей делает невозможным их применение к ядру Linux, нарушает авторские права разработчиков ядра и приводит к расторжению лицензии GPLv2 и, как следствие, прекращению всех прав лицензиата, предоставленных ему данной лицензией. Компаниям рекомендовано избегать применения патчей Grsecurity, так как они нарушают условия распространения кода для ядра Linux и создают риск разрыва лицензионного соглашения на ядро. В свою очередь, Линус Торвальдс в свойственной ему манере посоветовал не связываться с Grsecurity и раскритиковал их подход к разработке, который оправдывает любые нарушения прежнего поведения целесообразностью повышения безопасности.

★★★★★

Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от Deleted

Что значит «обе стороны правы», когда есть публичный договор (лицензионное соглашение) и есть его нарушение? GPLv2 требует, чтобы все производные работы распространялись на тех же условиях без наложения дополнительных ограничений. Ты можешь говорить, что эти требования сколь угодно абсурдны, но не нравятся правила игры — не играй.

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 2)

Опять чего-то GPL-ный бугуртят. На этот раз не так весело - без трансов.

Ну а так конечно, виноваты grsecurity - залезли в кузов, а теперь груздями называться не хотят

fornlr ★★★★★
()
Последнее исправление: fornlr (всего исправлений: 2)
Ответ на: комментарий от intelfx

Правым можно быть и в нарушении правил, внезапно. Это хороший способ демонстрации того, что не всё ладно в датском королевстве.

не нравятся правила игры — не играй

Хороший принцип, когда речь идёт о кафешках или форумах - прошёл чуть дальше и нашёл то, что устраивает. А когда речь идёт о вещах такого масштаба и сложности, то это уже голимый диктат, от которого могут пострадать многие.

Deleted
()

Так как патчи Grsecurity являются продуктом, производным от ядра Linux

Лол что? Производным продуктом является пропатченное ядро, а не сами патчи.

no-such-file ★★★★★
()
Ответ на: комментарий от Deleted

Закон тоже не святое писание. Ка ты относишься к тому, что голодающий у тебя силой отнимет еду, ведь ему реально надо?

mandala ★★★★★
() автор топика
Ответ на: комментарий от Deleted

Ну пусть патчат на безопасность бздю. А зашкварный ляликс не трогают.

mandala ★★★★★
() автор топика
Ответ на: комментарий от Deleted

А если толпой? На одного? или скрытая кража, что ближе к каким-то скрытым пунктам (еще и NDA прилепить можно, ага).

Имеют же моральное право: им надо есть, а еды нет — сдохнут тогда. А у тебя есть еда, но ты не делишься добровольно, какие-то условия выдвигаешь или вообще лесом шлешь.

mandala ★★★★★
() автор топика
Ответ на: комментарий от no-such-file

Лол что? Производным продуктом является пропатченное ядро, а не сами патчи.

Лол то. Патчи были написаны с использованием исходного кода ядра и не могли быть созданы без него, поэтому они — производная работа от кода ядра.

intelfx ★★★★★
()
Ответ на: комментарий от mandala

Имеют же моральное право

У никчёмностей есть только одно моральное право - освободить мир от своего присутствия.

Но мне нравятся эти ТПшные аналогии, продолжайте))

Deleted
()
Ответ на: комментарий от Deleted

И те, и те есть хотят. Ну пусть будет не у тебя еду отнять, а в супермаркете взять и не заплатить (линукс-фоундейшен то не обеднеет от их выкрутасов).

mandala ★★★★★
() автор топика
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от mandala

Понемаю, они крадут код из ядра командой mv

Deleted
()
Ответ на: комментарий от mandala

взять и не заплатить

Как что-то спиратить - это не воровство. У автора же не убудет.

А как GPL-ный код скопировать, изменить, и зажать - так это всё пипец...

fornlr ★★★★★
()
Последнее исправление: fornlr (всего исправлений: 1)

Это печально, ведь сам продукт очень неплох, актуален и т.д. но кушать хочется. Они ошиблись наверное с целевой аудиторией. Надо было работать на какую-нибудь госструктуру или что-то ещё аналогичное, где офигенные требования к безопасности. Выкатывать для них эти патчи по-тихому и рубить себе свою зарплату с 4-мя нулями. А они попытались альтруистами побыть. Код открыли вот это всё, по-чесноку работали. Только не учли, что надо это 1% от 1% и раскошеливаться никто не собирается. Попробовали отжать свой кусок и началооось.

Pyzia ★★★★★
()
Ответ на: комментарий от intelfx

Патчи были написаны с использованием исходного кода ядра

Нет не были. Использование кода ядра тут вторично - авторы могли взять любое другое ядро и реализовать свои идеи. Иначе можно прикопаться к любому кто смотрел исходный код ядра - а вдруг ты там чему-то научился? Теперь любой код человека который взглянул на ядро - производная работа от ядра?

и не могли быть созданы без него

Могли. Смотри выше. Автор имеет полное право лицензировать патчи (собственный код) так, как ему нравится.

no-such-file ★★★★★
()
Последнее исправление: no-such-file (всего исправлений: 1)
Ответ на: комментарий от Pyzia

Так кто им мешает на госструктуру работать? Пусть им госсструктура гранд дает на разработку патчей.

dikiy ★★☆☆☆
()
Ответ на: комментарий от dikiy

Как ты сможешь сделать diff, не имея исходников ядра?

Хочешь сказать, что, например, коммерческих модулей ядра быть не может? Ведь нужно иметь ядро чтобы что-то разрабатывать.

no-such-file ★★★★★
()
Ответ на: комментарий от no-such-file

Модули - это таки не патчи. Проприетарные модули просто распространяются бинарниками. А патчи накладываются на исходный код.

saahriktu ★★★★★
()
Ответ на: комментарий от saahriktu

Проприетарные модули просто распространяются бинарниками. А патчи накладываются на исходный код

И какая разница? Особенно если вспомнить в ядре сейчас есть возможность накладывать бинарные патчи на лету. Без ядра модули бессмысленны, также как и патчи - это не делает их «производным продуктом». Иначе можно любую программу для linux назвать производным продуктом, т.к. без linux она не будет работать. Авторство есть авторство, хоть это патч, хоть целая программа.

no-such-file ★★★★★
()
Последнее исправление: no-such-file (всего исправлений: 2)
Ответ на: комментарий от no-such-file

И какая разница?

Очень большая. Новые модули, проприетарны они или нет, - это новый код. А новый код может быть под любой лицензией, и это никак не связано с уже существующим кодом и его лицензией. А вот модификации уже существующего кода должны производиться в соответствии с его лицензией. А за то мы и любим GNU GPL, что любые модификации уже существующего кода под GNU GPL должны возвращаться сообществу исходниками под GNU GPL.

saahriktu ★★★★★
()
Ответ на: комментарий от saahriktu

Новые модули, проприетарны они или нет, - это новый код

Удивительно, но патчи grsecurity это тоже новый код - до того как их написали, в ядре ничего такого не было.

что любые модификации уже существующего кода под GNU GPL должны возвращаться сообществу исходниками под GNU GPL

Щас, разбежался. Автор имеет права делать что хочет. Другой вопрос является ли код действительно новым (авторским), или там 1 символ изменён. Но этот вопрос нужно решать в суде, на основе экспертного заключения, а не с порога заявлять что любой патч GPL кода, тоже попадает под GPL.

no-such-file ★★★★★
()
Последнее исправление: no-such-file (всего исправлений: 1)
Ответ на: комментарий от no-such-file

Новый код - это когда появляются новые файлы исходников. А если модифицируются уже существующие файлы исходников, то это - модификация уже существующего кода.

Автор имеет права делать что хочет.

Автор новых файлов исходников. А уже существующие файлы исходников под определённой лицензией.

saahriktu ★★★★★
()
Последнее исправление: saahriktu (всего исправлений: 1)
Ответ на: комментарий от saahriktu

Новый код - это когда появляются новые файлы исходников

ЛОЛ


бла бла бла

#include "new_code.c"

бла бла бла

Я уж не говорю о том, что патч - это отдельный файл.

no-such-file ★★★★★
()
Последнее исправление: no-such-file (всего исправлений: 1)
Ответ на: комментарий от no-such-file

Вы уверены, что этого таки достаточно? Патчи на то и патчи, что они не просто добавляют новые строки, но и, как правило, модифицируют уже существующие.

saahriktu ★★★★★
()
Ответ на: комментарий от saahriktu

Патчи на то и патчи, что они не просто добавляют новые строки, но и, как правило, модифицируют уже существующие

И что? Специально для тебя ещё раз - патч, это отдельный файл созданный автором. То, что ты модифицируешь патчем код во время сборки для себя - это GPL прямо разрешает.

Собранное с патчами ядро - производный продукт, сами патчи - авторский продукт.

no-such-file ★★★★★
()
Последнее исправление: no-such-file (всего исправлений: 1)
Ответ на: комментарий от no-such-file

Патч, даже будучи отдельным файлом, сам по себе может иметь только историческую ценность (для отслеживания изменений). Чтобы извлечь практическую пользу из патча его нужно наложить на уже существующий исходный код под определённой лицензией, которая может гласить, что любые модификации этого кода, которые выходят на люди, должны возвращаться сообществу исходниками под GNU GPL.

Если бы сабжевыми патчами пользовались только 3,5 красноглазика, то никто бы их не обсуждал. Проблема в том, что авторы таки распространяют свои модификации. А распространяемые модификации исходного кода под GNU GPL должны возвращаться сообществу исходниками под GNU GPL.

saahriktu ★★★★★
()
Последнее исправление: saahriktu (всего исправлений: 1)
Ответ на: комментарий от no-such-file

товарисч, прекрати спор и пойми, что патч — это производная от исходного текста под GPL, а значит очевидно и сам под GPL.

Исключения записано прямо в файле COPYING ядра:


NOTE! This copyright does *not* cover user programs that use kernel
services by normal system calls - this is merely considered normal use
of the kernel, and does *not* fall under the heading of «derived work».
Also note that the GPL below is copyrighted by the Free Software
Foundation, but the instance of code that it refers to (the Linux
kernel) is copyrighted by me and others who actually wrote it.

Also note that the only valid version of the GPL as far as the kernel
is concerned is _this_ particular version of the license (ie v2, not
v2.2 or v3.x or whatever), unless explicitly otherwise stated.

dikiy ★★☆☆☆
()

На опеннете в комментах как обычно поклонение GPL с молитвами устроили.

Deleted
()
Ответ на: комментарий от no-such-file

Абстрактные идеи принято патентовать. А здесь вполне конкретная реализация, которая не может существовать в отрыве от исходного кода ядра. В любом случае, ты можешь говорить что угодно, но патч не может быть создан без явного участия исходников ядра, а значит патч — это производная работа.

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 1)

Самое главное где?

Don't bother with grsecurity.

Their approach has always been "we don't care if we break anything,
we'll just claim it's because we're extra secure".

The thing is a joke, and they are clowns. When they started talking
about people taking advantage of them, I stopped trying to be polite
about their bullshit.

Their patches are pure garbage.

                  Linus

TheAnonymous ★★★★★
()
Ответ на: комментарий от no-such-file

Использование интерфейсов вроде бы попадает под fair use. А может и нет. Я не помню, чем закончился суд Oracle с Google про интерфейсы стандартной библиотеки Java SE. Но даже с интерфейсами ничего не понятно, а ты про код говоришь.

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 1)

Надеюсь их задавят. И это будет уроком любой коммерсне на СПО.

slovazap ★★★★★
()

Кстати, гентушники что порешали с hardened-sources? Уже пару месяцев как прошло, есть какой-то анонс? Будут просто выпиливать из дерева, или перейдут на другой апстрим?
Pinkbyte init_6

TheAnonymous ★★★★★
()
Ответ на: комментарий от intelfx

Но даже с интерфейсами ничего не понятно, а ты про код говоришь.

Интерфейс был запатентован. Код - нет.

А здесь вполне конкретная реализация, которая не может существовать в отрыве от исходного кода ядра.

Прекрасно может в виде набора патчей.

no-such-file ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.