Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OSSの怖い話(ホントハコワクナイヨ

 OSSの怖い話(ホントハコワクナイヨ

納涼! 本当にあった怖いIT話 LT会 ~SHIFT EVOLVE Presents LT Vol.3~ でしゃべった内容です。

Naruhiko Ogasawara

August 20, 2021
Tweet

More Decks by Naruhiko Ogasawara

Other Decks in Technology

Transcript

  1. OSSの怖い話
    (ホントハコワクナイヨ
    おがさわらなるひこ
    オープンソースソフトウェア愛好家
    SHIFT SECURITY INC.

    View full-size slide

  2. Who Am I
     おがさわらなるひこ
     Twitter: @naru0ga
     (株)SHIFT SECURITYの社員
     だけど今日は一介のOSS愛好家として
    Disclaimer
     今日お話しする内容はフィクションです。
    実在の組織・人物とは関係ありません。

    View full-size slide

  3. ところでOSSとは
     Open Source Software
     日本語だと「オープンソース」と呼ばれる
     ただの「ソースコードが公開されてる無償ソフト」
    ではないです!
     「オープンソースの定義」に従ったソフト
     くわしくは https://opensource.jp/osd/osd19/ を読もう
     別の言い方をすれば「オープンソースの定義」に従った
    「オープンソースライセンス」のもとで
    配布されているソフトウェア

    View full-size slide

  4. ところでOSSとは
     Open Source Software
     日本語だと「オープンソース」と呼ばれる
     ただの「ソースコードが公開されてる無償ソフト」
    ではないです!
     「オープンソースの定義」に従ったソフト
     くわしくは https://opensource.jp/osd/osd19/ を読もう
     別の言い方をすれば「オープンソースの定義」に従った
    「オープンソースライセンス」のもとで
    配布されているソフトウェア

    View full-size slide

  5. と、 ここまでは前
    振り

    View full-size slide

  6. 怖い話①
    「GPLって何?」

    View full-size slide

  7.  某メーカーA社にて
     某製品をB社から仕入れで購入してラベルを張りかえ
    て販売することに
     B社担当
    「この商品はLinuxを使ってるのでGPLの要請に従わな
    いといけないのですが御社は大丈夫ですか?」
     A社担当、「ただ仕入れて売るだけでしょ?」と
    思っており意味が分からないのでずーーーっとスルー
     発売一か月前にそれを聞いたA社担当の同僚が慌てて
    知り合いの技術者に電話「ねえ、これって大丈夫?」

    View full-size slide

  8.  某メーカーA社にて
     某製品をB社から仕入れで購入してラベルを張りかえ
    て販売することに
     B社担当
    「この商品はLinuxを使ってるのでGPLの要請に従わな
    いといけないのですが御社は大丈夫ですか?」
     A社担当、「ただ仕入れて売るだけでしょ?」と
    思っており意味が分からないのでずーーーっとスルー
     発売一か月前にそれを聞いたA社担当の同僚が慌てて
    知り合いの技術者に電話「ねえ、これって大丈夫?」
    大丈夫なわけ
    ないだろ
    !!!!!1

    View full-size slide

  9. その機器が使ってた基本ソフトLinux(リナックス)のライセン
    スGPLは「ソフトウェアのユーザーが求めた場合ソースコード
    を渡す」義務がある
    それを認識せず「ソースコードは弊社の知的財産であり開示で
    きません」とやると、だいたい炎上して火消しに苦労する
    (今もけっこうある)
    この件の場合は突貫で発売前にソースコード配布ページを作り
    落着したそうです

    View full-size slide

  10. OSSは「OSSライセンスに従って使えるソフト」だから、OSSを
    使う場合、どんなライセンスで配布されてるか、そのライセン
    スが何を求めているか確認し理解しておく必要がある
    OSSというものの存在を意識していれば、確認のしようがある
    ので必要に応じて確認すればOK
    (確認できる有識者とか部署があればモアベター)
    「これまずいかも」って嗅覚があって、きちんと決まりを調べ
    それを守ればコワクナイヨ!

    View full-size slide

  11. 怖い話②
    OSSの公開が
    企業のイメージを
    傷つける?

    View full-size slide

  12. 「なんか自社でOSS公開したってなるとクールじゃな
    い?」って話に → 担当者が頑張って作って社名入りで公開
    それを継続してメンテするための体制については議論されず、
    担当者は多忙になってしまいそのOSSは放置
    周辺ソフトの進化に置いて行かれデータ消失バグが発生する
    も気づかないままそのまま配布継続
    「こいつを使ったらデータを全部消された!
    こんなソフトを公開してる会社はクソだ!」

    View full-size slide

  13. OSSを
    作って組
    織として
    公開しよ
    うとする
    姿勢は素
    晴らしい
    ……けど
     組織の名前を冠してOSSを公開する
    とき、組織として体制を作らずに個
    人の頑張りに依存すると、結局その
    OSSはメンテされない日が来て死ぬ
     死んだOSSを公開し続けることは組
    織のマイナスイメージになるリスク

     組織としてOSS活動をアピールした
    いなら、継続性をどう保証するかを
    しっかり考えて始めよう
     組織としてちゃんと取り組めば
    コワクナイヨ!

    View full-size slide

  14. 怖い話③
    正式リリースでは
    直ると思ってた
    今度はOSSを作る側にとってのコワイ話

    View full-size slide

  15.  多くのOSSは、メジャーリリース前に「テスト版」を
    出す
     それで問題なかろうとなったら、正式リリースされる
     あるOSSで、
    「こんなバグ入りのリリースは使えない!
    このバグはテスト版から存在していた!
    正式リリースでは直ると思っていたのに!」
    と騒ぐ人が

    View full-size slide

  16.  多くのOSSは、メジャーリリース前に「テスト版」を
    出す
     それで問題なかろうとなったら、正式リリースされる
     あるOSSで、
    「こんなバグ入りのリリースは使えない!
    このバグはテスト版から存在していた!
    正式リリースでは直ると思っていたのに!」
    と騒ぐ人が
    コノヤロー
    なんで手間暇かけて
    テスト版出してるの
    かわかってるの
    か??

    View full-size slide

  17. なぜコストをかけてテスト
    版をリリースするのか?
    不具合を見つけたら報告してほしいから
    多くのOSSでは、ユーザーからのフィードバックを以てQAプロセス
    としているので、報告されない不具合は存在しないものと一緒
    存在しない(と思われてるもの)が直るわけがない
    だから間違いを見つけたら適切に報告する
    それさえ守ればコワクナイヨ!

    View full-size slide

  18. 最後に
    OSSだって人間が作ってる

    View full-size slide

  19. 人間がやることなので
    こじれる原因はしばしば敬意の欠落
    OSSを作る人、使う人、周りの人、
    そしてOSSを取り巻く文化、
    お互いに敬意をもって尊重しあえば
    たいていのことはコワクナイ!
    OSSに関するルール(定義とかライセンスとか)は
    敬意を持つ者同士が円滑に共同作業するための
    道具に過ぎない
    Love! OSS!

    View full-size slide

  20. おしまい。

    View full-size slide