Grsecurity wstrzymuje publiczną publikację stabilnych łat

Projektu grsecurity przedstawiać nie trzeba – jest on rozwijany od ponad 14 lat i stanowi podstawę bezpieczeństwa wielu systemów, szczególnie serwerów. Na stronie projektu ukazała się właśnie informacja o wstrzymaniu od 9 września publicznej publikacji stabilnych wydań łat bezpieczeństwa. Ma to związek z nieustannym naruszaniem praw autorskich grsecurity oraz łamaniem licencji GPL przez kilka firm związanych z systemami wbudowanymi.

 

Tylko w ciągu tego roku twórcy Grsecurity wydali tysiące dolarów na koszty sądowe przeciwko firmom związanym z systemami wbudowanymi, a każda sprawa przeciągała się niepotrzebnie po kilka miesięcy. Ponieważ ich prawnik poradził aby nie ujawniali nazw tych firm to nie wiadomo dokładnie, o które firmy chodzi, ale są to raczej dość spore korporacje skoro opisujący sprawę Brad Spengler nazywa je “wielomiliardowymi”. Jak możemy przeczytać sprawa dotyczy wielu milionów używanych odtwarzaczy multimedialnych, czy też urządzeń do obsługi kart kredytowych. Firmy te świadomie łamały licencję GPL oraz prawa do znaku firmowego grsecurity – nawet mimo rozpoczęcia przez twórców grsecurity działań prawnych.

 

Cała sprawa rozpoczęła się w maju 2015 roku – duża firma zrobiła z grsecurity jeden z kluczowych elementów swojej platformy. To samo w sobie nie jest problemem, jak również nie jest problemem (chociaż nie jest mądre) wykorzystanie starej i nierozwijanej wersji jądra oraz równie starej łaty grsecurity, którą ta firma zmodyfikowała. Ponieważ wiele firm tnie koszty gdzie można, to zaskoczeniem nie było, że produkty zostały oznaczone jako bezpieczne jak najtańszym kosztem, zaś twórcy grsecurity nie zostali zatrudnieni do prawidłowego przeportowania oraz rozwoju jądra dostarczanego do płatnych produtków tej firmy.

Grsecurity pracowała na swoją markę 14 lat, dbając zawsze o najwyższe standardy, a w 2011 roku formalnie zastrzegła prawa do znaku towarowego grsecurity. Wspomniana wcześniej firma użyła nazwy grsecurity we wszystkich swoich materiałach marketingowych oraz postach na blogu do opisania samodzielnie przeportowanego kodu i nie wspieranej wersji jądra – z innymi modyfikacjami kodu, które nie zostały przez twórców grsecurity wprowadzone ani przetestowane pod kątem bezpieczeństwa. W związku z tym używanie nazwy grsecurity dla wersji jądra Linuksa, dla której nigdy nie ukazały się łaty jest bezprawne i jest wykorzystaniem budowanej przez lata reputacji dla swoich celów marketingowych.

 

Niestety twórców grsecurity nie stać już na batalie sądowe przeciwko wielkim korporacjom – którym pieniędzy nie brakuje, a wydawanie pieniędzy pozyskiwanych od sponsorów na kroki prawne zamiast na rozwój projektu jest marnowaniem ich pieniędzy. Jak zapewnia Brad Spengler, firmy z branży systemów wbudowanych nie grają uczciwie nie tylko wobec nich – wprowadzając w błąd deweloperów i swoich użytkowników, ale od lat łamią licencję GPL, co spowodowało wystarczająco dużo frustracji aby podjąć decyzję o zamknięciu publicznego dostępu do łat.

 

Zapowiedź ta dotyczy przyszłych wydań stabilnej serii poprawek i od 9 września będą one dostępne tylko dla sponsorów projektu. Wersje testowe, które nie nadają się do użytku w systemach produkcyjnym będą nadal dostępne publicznie dla wszystkich. Jeżeli to nie rozwiąże problemów rozważone zostanie wprowadzone polityki podobnej jak Red Hat lub całkowicie zaprzestać wydawania serii stabilnych i przejścia na inny model rozwoju.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

Poprzedni post

Scientific Linux 6.7

Następny post
logo piwo2015

P.I.W.O. 11 – Call for Papers

Powiązane posty

BcacheFS – system plików dla dysków SSD

Kent Overstreet - były programista Google, stworzył system plików, który w założeniach ma być wydajny i niezawodny jak ext4 i xfs oraz funkcjonalny jak btrfs i zfs.

Jak wiadomo szeroko stosowane dyski SATA są pojemne i tanie, ale niezbyt szybkie, z kolei szybkie dyski SSD relatywnie drogie w stosunku do ich pojemności. Wskazane by było aby połączyć w sposób transparentny korzyści obu technologii w jedno sensowne rozwiązanie. 

Więcej...