オープンソースソフトウェア、仕事で開発するプロダクトに使ってる? 96
ストーリー by soara
英語だからスルーなんてのもありそうな 部門より
英語だからスルーなんてのもありそうな 部門より
あるAnonymous Coward 曰く、
@ITにて「OSSライセンス順守の第一歩」という記事が掲載されている。企業でOSSを利用する際の注意点などをまとめたものだが、記事によると「企業が何らかのソフトウェアを開発するときに、オープンソースソフトウェア(OSS)との付き合いを考えずには済まない時代になりつつあります」とのことらしい。
実際、(タレコミ子が関わっている) Web系のシステム開発分野では OSSの利用はかなり進んでいるが、例えば業務システムや社内向けのシステムなどではそこまで浸透してはいないのでは? とも感じられる。また、納品の際に色々と面倒な自体も発生しそうなのだが、開発物にOSSを利用している場合、これらの対処はどうしているのだろうか?
/.Jのみなさま、どんなもんでしょうか? また、知らぬ間にOSSのコードが混入していた、って事態は結構よくあるんでしょうか?
OSSかどうかではなく、ライセンス (スコア:5, すばらしい洞察)
注意しなければならないのは、OSSかどうかではなくてライセンスでしょ。
製品の開発モジュールを買ったとしても、再配布には別途ライセンスが必要であったり、
SDKについていたので、安心して使っていたら、じつは再配布不可であったり。。。
Re:OSSかどうかではなく、ライセンス (スコア:2, 興味深い)
リリース時期が伸びて
使ってるライブラリのライセンス切れになってるのに気付かなくて違約金払う羽目になったりとか
聞いたことある
Re:OSSかどうかではなく、ライセンス (スコア:2, 興味深い)
金でケリをつける余地がある、というのは企業にとってはメリットにもなりうるよ。
OSS でも権利者と交渉して金でライセンスを買うことができれば良いし、そういう場合も無いわけではないけれど、
寄稿者が多すぎるとそれが事実上不可能となり、コードを開示する以外の選択肢が無くなる。これが怖い。
Re:OSSかどうかではなく、ライセンス (スコア:1, すばらしい洞察)
発注者に「著作権を放棄せよ」と言えるのならそうでしょう。
でも真っ当な会社なら出資に対してリターン(この場合はソフトウェアの所有権)を主張するでしょうし、
経理上も自己のための活動なのに無償の活動に出資しましたとは言い難い事実もある。
隠したいノウハウや知的所有権等の問題で外に出せない問題だって沢山あるだろう。
だからこそ「金で解決できる」はとても大事なキーワードなんだと思う。
素人の遊びとは訳が違うんだからさ。
参考資料:情報システム・モデル取引・契約書 (スコア:4, 参考になる)
2件あった (スコア:3, 参考になる)
・BMPファイルの画像を加工するプログラム。加工の方に注力したかったのに、BMP読み込むライブラリが無い(読み込んだ直後で画素データが1次元配列でなくてはいけないので、libgdとかはNG)。ようやく見つけたファイルがMITライセンスで焦った(よくしらなかった)が、プログラム中にコメントしておくことでOKらしいので利用させていただいた。納期間に合った。
・namazuがGPLなので、JNI経由Javaで呼び出そうとしたが、そちらのプログラムもGPL適用されてしまう可能性がある。namazuをサーバ形式のプログラムに変更、SOAP形式で検索リクエストと、リターンをもらうようにした。GPL公開要求されても、検索リクエスト・リターンの部分だけ公開すればいいので、Java側のプログラムまで公開義務の影響が及ばない。
これ、作った後にライセンス問題がわかったら、怖かったろうなぁ。
-- gonta --
"May Macintosh be with you"
保証してくれる? (スコア:3, 興味深い)
曰く「OEが入っているのだからそれを使え。何かあったらマイクロソフトが保証してくれる。どうしても導入したければ利点を工数で算出しろ。」
OSSに対して何か怪しげな感情を持っておられるようです。MSが保証してくれたなんて話聞いたことないぞ…。
何より社内であなたはセキュリティ担当に任命されていて、(全く関係ない話でも)ことあるごとにセキュリティセキュリティ言ってるんじゃないか。
悩みましたが親交のあるさらに上役のある程度こちら方面に明るい方から申請してもらったらすんなり通り、OEは捨てることができました。
Re:保証してくれる? (スコア:3, 興味深い)
違うメールソフトでしたが、知人もフリーで少しマイナーなメールソフトを申請してセキュリティ上の理由で却下されました。
既に許可済みのOEと、社内統合ツールのメール機能に追加して、軽快なソフトをと申請したらしいですが
却下理由が たしか
サポートが保証されていない(ソフトのベースになっている部分が個人開発だった。)
許可すると そのソフトの管理や脆弱情報を情報部が収集する必要がある(既に許可済みのもので用が足りれば、情報部のサポートしやすい。脆弱性等の対策管理)
許可は利用者個人に対して行わず、ソフトに対して行うので、社員全員が使う事が可能で、PCによって使い方が違うものを入れたくない(操作ミスによるセキュリティ事故を防ぐ)
マニュアルの作成の手間(使い方だけじゃなく会社の基準に合う設定、操作方法の手引を作る事になってる他、脆弱情報がある場合は対応を毎回作り配布)
『砕いて言えば、同じ事ができるものがあるのに、ハイそうですかと認可すると、セキュリティ事故につながる理由も増えるし、対応も大変になる』
事に対して
『そのソフトを利用するメリット』
が少なく 『セキュリティ上のリスクを理由に却下』と言う返答がA4で3枚(図入り)で貰ったそうです
散々ぶつぶつ文句を言っていた彼が 今は情報部セキュリティ対策班に異動し、今では呑むたびに
「あんなモノ(ソフト)を導入するから仕事が増えるんだ」と愚痴を言っています
[注意]コメント主は大変叩かれ弱い性質です。優しく接してあげて下さい
~おもしろおかしい以外に興味はありません~
Re:保証してくれる? (スコア:1)
保証って、セキュリティフィックス、ですかねぇ?
プロジェクトが止まってなければThunderbirdも大差ない気もしますが(OutlookじゃなくてOutlook Expressならなおさらw)...
利点を簡単に説明するのも難しいですね。
できればFSF [fsf.org]とかで、バグの数、重要度、放置期間、なんかの一覧(できるだけ客観的なの)とかを収集してもらって、かんたんに情報として取れるといいんですがね。
# オープンソースの普及というか、「(フリーでもプロプラでも)より安全で健全に」という方向で頑張るのって難しいね
M-FalconSky (暑いか寒い)
Re:保証してくれる? (スコア:1, 興味深い)
社内でWSUSとか管理してると、セキュリティフィックスを強制できるだけでMSプロダクトのほうが楽だなと思います。
Thunderbirdとか使うのは制限してませんが、ちゃんとアップデートしてる人なんてほとんどいません。啓蒙してないわけじゃないんですがね。
自動アップデートはなにもダイアログ出さずに強制してくれるぐらいじゃないと役に立たないってことです。
ユーザーが勝手に入れてるソフトまで面倒見切れないし。
Re:保証してくれる? (スコア:1)
Firefoxは自動更新そのものをoffにされたらそれまでですが、Windows Updateは「ポリシー」の設定により、自動更新を切れないように強制できたはず。(それもドメイン/ユーザーグループ等の単位で)
Re:保証してくれる? (スコア:1)
事後報告型は自動更新設定になっている場合だけです。
アップデート通知のみの場合は起動時にダイアログがでてアップデートを促されますし、
通知すらカットする設定にも出来ちゃいます。
ただ、一番怖いのはVistaだとUser権限では手動アップデートすらできないことです。
いちいちAdministrator権限で入ってアップデートしなきゃならないので、
企業ではもはや選択肢にすら上らないレベルですね…。
#いや、FirefoxやThunderBirdが悪いわけじゃないんだけど…。
OEのデメリット (スコア:1, 参考になる)
・添付ファイルの分割メール非対応。
・標準で電子メールで規定されているJIS以外の漢字コードで送るようになっていて、相手に文字化けメールを贈ることになる。
・実行形式の添付ファイルを保存することもできない
・メールサイズが大きいメールを受信するときにタイムアウトを起こす
・メールサーバに大量のメールがあるとタイムアウトを起こす
・ウイルスのターゲット
・Windows7にはついていない。
・大量のメールを貯めこむとデータが壊れたり不具合が出る
Re:OEのデメリット (スコア:2, 参考になる)
「JIS」というのが具体的にどのエンコーディングを指しているのかわかりませんが(ISO-2022-JP?)、
電子メールの「漢字コード」に標準はありません。
Content-Typeヘッダで指定したエンコーディングが使用されます。
「JISが電子メールの漢字コードの標準である」というのは嘘です。標準ではなく過去の慣例です。
Re:OEのデメリット (スコア:1, 参考になる)
http://www.ietf.org/rfc/rfc1468.txt [ietf.org]
も
It does not specify an Internet standard.
だしね。ISO-2022-JPだと絵文字おくれないんだよなあ。。
Re:OEのデメリット (スコア:1)
むしろ、ISO-2022-JPで表現できない文字に出会うと、ISO-2022-JP2で送ろうとする某メーラをなんとかしてほしかったり。
そんな時は大人しくUTF-8で送ろうとしないのは…宗教上の理由なのかなぁ。
Re:OEのデメリット (スコア:1)
Re:OEのデメリット (スコア:2, 参考になる)
> ・メールサーバに大量のメールがあるとタイムアウトを起こす
一応デフォルトの待機時間1分てのを変更して5分にしておけば
そこまでは待ちますね。
> ・大量のメールを貯めこむとデータが壊れたり不具合が出る
受信トレイとかの、OE中の一つのフォルダが1ファイルになってて、これが2GB超えると
OEが読めなくなっちゃうんだよね。だから、ある程度たまったらフォルダを分けて
メールを移動しないといけない。復旧用のフリーソフトとかあるけど
それにしても古くて遅いPCで復旧作業とかなると、半日つぶれてしまいますね。
OEでやっかいなのは、時々受信できないメールが出ることかな。
経験上、楽天のメールで多いけど、他のソフトだと普通に受信できるのに
OEだとそこで受信が止まってしまう。
癌はOOSというかGPLでしょ (スコア:3, すばらしい洞察)
GPL撲滅運動。
Re:癌はOOSというかGPLでしょ (スコア:3, すばらしい洞察)
おもしろおかしい、じゃなくて、案外本気では?
世の中のOSSがすべて修正BSDとかだったらいいのに。
OOSとは (スコア:1)
#とか下らない事を考えて目の前の現実から逃避中。
Web系だと (スコア:1)
使わずに開発する方が難しいかも。
#今だとJavaだってOSSになったんじゃなかったっけ?
使うのが普通。使わないと難しい (スコア:1)
#VS+VSSとか使いにくいですし・・・
Re:使うのが普通。使わないと難しい (スコア:2, 参考になる)
確かに。
ある程度の規模のJavaプログラムを,Jakarta [apache.org]やApache Commons [apache.org]を全く使わないで書くのは,もう現実的じゃないですしね。
Re:使うのが普通。使わないと難しい (スコア:1, 興味深い)
VSとeclipseは慣れの問題じゃないかなあ。
Javaから入った人はVS使いにくいって言うし、VS(VBやC#)から入った人はeclipse使いにくいって言うのはよく聞くけどね。
VSSとsubversionはそもそも設計思想が違いすぎて比べるべきなのかも判らんし。
Re:使うのが普通。使わないと難しい (スコア:2, 参考になる)
一応 NetBeans も含めて使ってますが、ソースコードエディタに限って言えば Visual Studio が一番使いにくいです。Visual Studio はリファクタリングの機能が貧弱です。
なので、Visual Studio には ReSharper [jetbrains.com] 入れてます。もう素の Visual Studio は使えない体になりました。
逆に Eclipse/NetBeans だと、エディタでのテキストの折り返し表示ができないのか、文章中心なときにやりづらいです。できる方法ないのかな?
確かにその通りですが、VSS は標準のクライアントが使いにくいと思います。
リファクタリング機能って言語依存性強いから (スコア:1)
リファクタリングに関するVisual StudioとEclipseの比較って、
言語は何なんでしょうか?もしかして後者にCDTいれて
C++出プログラミングするときの比較ですか?
それとも前者はC#で後者はJavaでしょうか?
リファクタリング機能って言語依存性が強いから
その辺をはっきりさせないと比較しづらいと思います。
屍体メモ [windy.cx]
Re:リファクタリング機能って言語依存性強いから (スコア:2)
省略してはいけませんでしたね。申し訳ありません。
Visual Studio では C#、Eclipse/NetBeans は Java でのお話です。
Javaはリファクタリング向きかも (スコア:1)
なるほど、わかりました。
私もEclipseでのJavaプログラミングでは
リファクタリング機能のお世話になっています。
どちらかというとメインがC++/ C++/CLI / Pythonなもので
実はあまりリファクタリングをIDEがサポートしてくれるってのを
信用していなかったのですが、Eclipse での Java プログラミングに
限っては信頼して使っています。最近は PyDev のリファクタリング機能もそこそこ。
C/C++ に限っては言語の特性上どうあがいても
リファクタリング作業ををサポートするには限界がありそうだなぁ。
トピックの趣旨とどんどん離れて行ってしまいますが、
Visual Studio 擁護もしてみると、C++ における果敢なまでの
ポインタの追跡と涙ぐましいまでの型推論にもとづく
識別子補完機能に関しては Visual C++ の IntelliSense
が最強だと思ってます。ときどき Boost ライブラリ使いまくると
発狂してますが。
屍体メモ [windy.cx]
Re:使うのが普通。使わないと難しい (スコア:2)
お仕事の都合で同じ日の中で Visual Studio と Eclipse の両方を使うことがありますが、いらいらしますね。まあ、そういう日は言語ごとの差や、コーディングスタイルの差とかでもいらいらしますが。(笑)
私の場合、Visual Studio は C# 開発の設定で使っているので、他の設定になっている人のパソコンを借りた時もやっぱりいらいらします…。
この辺りは仕方ないと割り切ってます。
Re:使うのが普通。使わないと難しい (スコア:3, 興味深い)
問題ないですよ。GCCでコンパイルしたからと言って、コンパイルしたプログラムをGPLで公開しなければならないわけではありませんので。 [gnu.org]
◆IZUMI162i6 [mailto]
Re:使うのが普通。使わないと難しい (スコア:1, 興味深い)
たしか GCCのC++のSTLライブラリはGPLだったと思うのでうっかり落とし穴にハマリそうですが
stdc ライブラリは Redhat の NEWLIB に差し替えて使っています
Re:使うのが普通。使わないと難しい (スコア:5, 参考になる)
>たしか GCCのC++のSTLライブラリはGPLだったと思うのでうっかり落とし穴にハマリそうですが
libstdc++ は例外条項付き GPL なのでプロプライエタリなソフトでの使用に問題はありません。
http://gcc.gnu.org/onlinedocs/libstdc++/faq.html#faq.license [gnu.org]
Apache Licenseなら使います (スコア:1, 興味深い)
納品するときの条件的に、GPLはかなり難しい。
というか、現場はライセンスを理解してても上がわかってなさげなので
危なくて使えない。
(ソース開示に関する認識ね)
APLならば、現場で気をつけておけば何とかなる範囲。
勝手にライセンスの表示を削るなんて、上には出来ないはずだから。(技術的に)
というか、Javaで開発してると結構がっつり使っちゃうんだなこれが。
Re:Apache Licenseなら使います (スコア:4, 興味深い)
「納品」って考え方がもう時代遅れなんでしょう。
Google にしろ Amazon にしろ自社で運営しているシステムの
開発を主導しているのはその会社自身でしょ。
自分のとこでは運用だけして開発はどっかの会社に任せるって
やり方ってのはこれから廃れていくんじゃないかなと思う。
これからは次の二択になると思う。
家のテレビはGPLです (スコア:3, 興味深い)
>納品するときの条件的に、GPLはかなり難しい。
一年ほど前に買った国産大手電気メーカのテレビの説明書によると
Linux Kernel, Samba udhcp, netfire/iptables, .... glibc, gcc, mallcoc ..
等が使われいるそうです。ソースコードの入手については、ホームページのアドレスが書かれています。
別に私はソースコードを欲しいとは思いませんが、、
また、「使われているフリーソフトウェアコンポーネントに関するエンドユーザーラインセンスアグリーメント原文」として、GPLの全文(英文)が8ページほど掲載されています。
メーカーがOSSを使うとき (スコア:1)
とかしてるんでしょうか?
営利活動に使うときは、ライセンスを守るだけでなく、何かしら貢献
(ソースの改良とか、お金を寄付するとか)しないといけないような
気がしますね。
FreeBSDに御布施したいのだけど、日本で手軽にできる方法はあるのかなあ。
Re:メーカーがOSSを使うとき (スコア:2, 参考になる)
> 営利活動に使うときは、ライセンスを守るだけでなく、何かしら貢献
> (ソースの改良とか、お金を寄付するとか)しないといけないような
> 気がしますね。
結構企業のバグ情報&パッチ提供が多いとおもうけど。
Linuxカーネルのチェンジログを見れば分かる。
Re:メーカーがOSSを使うとき (スコア:2, 参考になる)
Re:メーカーがOSSを使うとき (スコア:1)
そんなことはないでしょう。
彼らにとっては「フリーのソフトウェアが広がること」が利益なのですから。
神社でC#.NET
Re:メーカーがOSSを使うとき (スコア:1)
>営利活動に使うときは、ライセンスを守るだけでなく、何かしら貢献
>(ソースの改良とか、お金を寄付するとか)しないといけないような
>気がしますね。
他の方も言っていますが、
ライセンスを守りつつ活用してあげるのが一番の貢献だと思います。
Re:メーカーがOSSを使うとき (スコア:1)
他の人も書かれてるとおりクレジットカードが有るなら
PayPal経由でしょうね
アカウントも特に作らなくても送付可能です
クレジットカードがない場合は、海外口座つくったり結構敷居が
高くなると思います
領収書/礼状が不用なときはその旨書いておかないと
お礼状が封書で送られてきてなんか申し訳なかった
気にさせてくれます
Re:メーカーがOSSを使うとき (スコア:2)
BSDライセンスだと、黙って使うだけで構わない
連載の第2回 [atmarkit.co.jp]に以下のように書いていますが、ほとんどのBSDライセンスも黙って使うだけで構わないわけじゃないです。
BSDはバイナリのみの頒布が可能で、ソースファイルで著作権者が確認できない場合が多いからこそ、バイナリの場合は、むしろ、ちゃんと著作権表示してあげる必要があります。
ちなみに、
GPLだと、使うだけでも「GPLを使ってるからソースどうぞ」って 公言しないといけない
わけでもありません。公言するのではなく、記事にも書いていますが、
その製品を受け取った人にとって、例えばGPLならば、ソースコードが添付されていることを確認できる状態にあるか(or)、または書面でその入手方法が提示されていなければなりません
ちょっと正確性に欠けるので原文でなくてもせめて日本語訳を見ていただければ幸いです。 GNU 一般公衆利用許諾契約書 [opensource.jp]第3項
Re:家のテレビはGPLです (スコア:1)
先日買ったLinux Kernelその他を含むガジェットは、ソース公開してあるんだけど書き換え方法が不明でユーザーフォーラムで文句いわれていた。まだ準備中で将来公開します、という主旨の回答あったけど、その将来ってのは「メーカがサポート打ち切るとき」じゃないよなぁ。
自分が改良したプログラムは自分で配布するのでは? (スコア:2, 参考になる)
>そのリンク先には、ソースコードが入手できるだけでなく自分で改良したプログラムのアップデート方法も書いてあるのでしょうか?
調べてありませんが、書いてないと思います。
GPLは、入手したプログラムを再配布するとき、配布した先に自分と同じ権利を保証することを要求するだけで、配布先のプログラムの再配布に協力する義務はないはずです。
GPL V.2から引用
3. You may copy and distribute the Program (or a work based on it,
under Section 2) in object code or executable form under the terms of
Sections 1 and 2 above provided that you also do one of the following:
(プログラムをオブジェクトコードとして配布する場合)
b) Accompany it with a written offer, valid for at least three
years, to give any third party, for a charge no more than your
cost of physically performing source distribution, a complete
machine-readable copy of the corresponding source code, to be
distributed under the terms of Sections 1 and 2 above on a medium
customarily used for software interchange; or,
(機械読み取りが可能な形でソースを配布する申し出をつける)
あなたが、テレビのソースコードを入手してプログラムを改良し配布することは、GPL上はメーカーと同じ立場です。
なお、改良したプログラムを配布せず個人的に使っている限りは何の問題もないと思います。
(Googleのサーバーはこれに該当するようなことを聞いたことがあります)
Re:自分が改良したプログラムは自分で配布するのでは? (スコア:2, 参考になる)
その通り。Googleなどのサービス提供はプログラム自体の頒布ではないのでGPLに抵触しません。
サーバサイドで提供することでプログラム自体を頒布せずソースを開示しないという抜け道に対応するためにAGPLがあります。
◆IZUMI162i6 [mailto]
Re:自分が改良したプログラムは自分で配布するのでは? (スコア:2, すばらしい洞察)
ことを
なんて言っちゃう人が居るから、いたずらにGPLを毛嫌いする人が増えるんだと思う。
フリーソフトを使うことも1つの選択肢である、というなら判るが、なんで原理主義者はフリーソフト以外は認めようとしないのかね。
自由という概念が一部のフリーソフト信者によって強制され、プロプライエタリのような独占的な存在になってしまうじゃないか。
Re:自分が改良したプログラムは自分で配布するのでは? (スコア:1)
ふーむ、機械で読み取れるというのはターゲットにロードできるということじゃないのですか・・・。
以前、ソースは公開したけどアップデートの方法を伏せていたメーカーがクレームつけられたような話を読んだ記憶がありますが、都合いい解釈で覚えていたみたい。
テレビなどの組み込み系ではGPLでも個人で改造版プログラム動かすのは容易ではない、ちゅうことですね。
ちょっとわくわくしかけたけど残念。
知らぬが仏 (スコア:1)
サポートにメールを出してソースコードを貰ったのは良いが,ファイルの頭にGPLのテンプレートが貼り付いている。どういうことや話をして,すったもんだの挙句、GPLのソースは無関係なので破棄してください,バグを直したライブラリーをバイナリーで提供しますということになって一件落着。
# 一応,NDAがあるから固有名詞は書けない。
餅は餅屋 (スコア:1)
他社に全てやらせるってのは実際問題良い考えでありますよね。
我輩も、毒を盛られない程度に活用したい物であります。
しかし、ネタ元のURLにもあるように、何か有ったときに何か言われるのは名前が表に出ている会社な訳で。
成果物のドキュメントを何も理解せずに放置して良い訳じゃないし、
結局何かあった時の為に仕組みは把握してなければならない。
単に使用するだけでは餅が喉に詰まりそうだ……