Comments 75
Удачи юристам провернуть такой же трюк с AstraLinux
Думаю они задумаются после этого...
Но в отличии от РедОС у астра Линукс действительно много самостоятельно разработанных модулей
В отличие от редос у группы компаний астра действительно много покровителей в гос аппарате.
Здрасти. РедОС - это и есть госаппарат. https://www.cnews.ru/news/top/2025-06-10_gosudarstvo_posredstvom 30% - принадлежат Ростех. В то время как Астра - полностью частная компания.
РБТ пора свое ядро пилить и привлекать комьюнити. А то треш на треш.
Интересно, а цель-то какая мероприятия была? Ну вот получат они эти исходники и что дальше? Будут на коленке компилировать РЕДОС?
Создать прецедент.
До этого прецедента никто про них не знал :-)
Как минимум - лучше понимать, что они купили - и донести это знание до всех купивших. И как минимум попробовать собрать и убедиться что в скомпилированных бинарниках не было дополнительного "специального соуса", что хорошо с точки зрения безопасности. Да и не только ведь за соблюдением своих собственнических лицензий следует приглядывать корпорациям с юридическимим отделами, правда же, свободные лицензии кто-то тоже должен защищать?
донести это знание до всех купивших.
в вот это как раз нигде не декларируется. сферических 90 компонентов надо еще провести аудит и понять как оно работает. с учетом качества этого кода - работа не совсем тривиальная и непростая.
убедиться что в скомпилированных бинарниках не было дополнительного "специального соуса"
если вы хоть раз сдавали свой продукт на сертификацию ФСТЭК - вы бы знали, что есть специально ответственные люди, которые этим в рамках как раз и занимаются.
более того, вы думаете взял исходники сферической библиотеки, скомпилил у себя на локалхосте и получится такая же md5 как в РедОС? неа, это так не работает.
в вот это как раз нигде не декларируется
Ссылка на git (жалко что не hub конечно) есть тексте статьи. Уже "донесли" даже если не планировали.
работа не совсем тривиальная и непростая
Вообще не спорю. Но необходимое для нее начало уже и проведено этими ребятами.
есть специально ответственные люди, которые этим в рамках как раз и занимаются
Очень круто, но нет ничего ценнее возможности самостоятельной проверки.
неа, это так не работает
Может у них не работает, для подобных кейсов есть свои методы анализа, которые проводятся значительно легче при наличии исходников, которые юристы и получили. А у нормальных людей есть reproducible builds так-то именно для этого.
Ссылка на git (жалко что не hub конечно) есть тексте статьи. Уже "донесли" даже если не планировали.
это называется "на тебе боже, что нам не гоже". никому это нафиг не надо.
А у нормальных людей есть reproducible builds так-то именно для этого.
ага, который тоже требуют в ФСТЭК и который намертво прибит к билдконвееру.
никому это нафиг не надо
"Отучаемся говорить за всю сеть"
намертво прибит к билдконвееру
Докеры, билд-серверы и прочее CI или хотя бы список версий всего используемого при сборке ПО вроде бы уже тоже давно придумали. Было бы желание.
если вы хоть раз сдавали свой продукт на сертификацию ФСТЭК - вы бы знали, что есть специально ответственные люди, которые этим в рамках как раз и занимаются
И специальным людям предлагается верить на слово? "вот тут-то мне карта и попёрла" (с)
И специальным людям предлагается верить на слово? "вот тут-то мне карта и попёрла" (с)
ну попробуйте, сдайте сложнее hello world что-нибудь
так вопрос не в том, чтобы им сдать что-то, а иметь возможность проверить то, что они там насертифицировали за закрытыми дверями
формуляры и протоколы сертификации емнип доступны потребителям
Я могу себе представить серьезную организацию, по настоящему серьезную, в которой система генерируется из исходных текстов. Нет исходного текста - нет этого компонента в системе. Ну типа debian. И обновления вносятся только после предварительного исследования. Я понимаю, что это дорого. Но эта организация серьезная. Типа очень большого банка. И всегда можно найти причину сбоя, закрыть ее. Конечно очень трудно или практически невозможно проверить все исходные тексты. Но такая система будет значительно более контролируема.
Поэтому COBOL никогда не умрет. Потому, что там все отлажено за десятилетия эксплуатации. Конечно, если это серьезная организация.
Как сказал Жванецкий: я рекомендую дождаться специалиста, заплатить нянечкам. Но можно этого не делать, если вас не интересует результат.
Я почему-то сильно сомневаюсь в том, что юристы, которые "типа купили" программный продукт, имеют достаточно компетенций в анализе и тестировании программных продуктов... Эти книжные черви вряд ли смогут даже приближенно описать разницу между компилятором и коллиматором, а не то чтобы что... Qui Prodest, как грицца...
Они сделали свою юридическую работу - получили исходники, и они выложили в открытый доступ уже например чтобы технари смогли разобраться.
Qui Prodest
Вообще-то всем, разве нет?
Я почему-то сильно сомневаюсь в том, что юристы, которые "типа купили" программный продукт, имеют достаточно компетенций
А я вот по вполне определённым причинам сомневаюсь, что «злобный препод начерталки и КГ» – в профиле у вас написано – имеет достаточно компетенций, чтобы оценивать работу юристов.
Объявят нашим, нац продукт.
Занесут в реестр импортозамещения
Продадут госам раз в 10 дороже
Схема давно отработанная
Цель не собрать свой РЕД ОС, а зафиксировать, что GPL обязует публиковать полный исходный код. Если такие случаи не доводить до конца, лицензия превращается в пустую декларацию
Скорее всего вы не в курсе, что для того, чтобы получить сертификат ФСТЭК испытательная лаборатория должна из исходников собрать исследуемый продукт. Понятно, что даже если сертификат получен не на бумажке, то в лабораторию исходники передаются по NDA, но формально то все перед законом ровны.
вкурсе, что это меняет в контексте комментария? левый юрист или инженер собрав редос из тех исходников что будет делать с этим? тем более там копейки от всего объема ОС выложены
Сборка должна быть воспроизводимой. Для этого конечно же нужны все исходники
блин. вы точно весь тред читали? воспроизводимая сборка тоже одно из требований ФСТЭК. эта сборка гвоздями прибита к конвееру. и даже если завтра вот вообще весь репозитарий отдадут "юристам" все равно не получится тот редос собрать на коленке, потому что есть билд-конвеер, и именно там и только там этот репро-билд может быть собран.
То есть они заставили компанию выполнить соответствующие обязательства перед ними, а не перед неопределённым кругом лиц, например, перед «всеми пользователями»всеми пользователями".
Это так законы в РФ устроены?
Лицензии GPL и LGPL не требуют открывать исходные коды ПО "неопределенному кругу лиц", или делать продукт общедоступным open-source
P.S. кстати, в урл на gitflic закралась точка
Да, именно так. В России пользователь не считается стороной лицензии GPL, поэтому напрямую требовать исходники не может только правообладатель или через обходные юридические конструкции
В России пользователь не считается стороной лицензии GPL
Это из чего следует?
Это и по американскому праву так, поэтому исходники передают в фонды типа Apache или SFC, чтобы они номинально являлись правообладателями на код и могли судиться, в случае чего.
По американскому праву это не так, очевидно, поскольку жопаель ориентирована на это законодательство как эталонное; не было бы смысла в лицензии, если бы она не работала
Исходники передают по причине, совершенно не связанной с правом пользователя программы
Я всё же хотел бы увидеть конкретные нормы права, в которых говорится, что «пользователь программы под лицензией А не обладает никакими правами, поскольку не является стороной договора»
https://www.gnu.org/licenses/gpl-violation.en.html
If you think you see a violation of the GNU GPL…
Once you have collected the details, you should send a precise report to the copyright holders of the packages that are being wrongly distributed. The GNU licenses are copyright licenses; they can be enforced by the copyright holders of the software. In addition, we encourage the use of any legal mechanism available to users for obtaining complete and corresponding source code, as is their right, and enforcing full compliance with the GNU GPL. After all, we developed the GNU GPL to make software free for all its users.
Это не текст лицензии. Лицензиар и лицензиат связаны не комментариями на каком-то там сайте, а текстом самого лицензионного договора.
Тем более, в выделенном тексте отсутствует слово only. А следующее предложение тем более объясняет, почему это слово там отсутствует.
Переводя на общечеловеческий, можно представить вышепроцитированный текст примерно так: «мы понимаем, что процедура легального преследования нарушающего эту лицензию лица может быть дорогостоящей, поэтому предлагаем обращаться в организацию, владеющую всеми правами на исходный код, у них (нас) есть ресурсы для этого, впрочем, при желании и наличии возможности используйте все доступные способы легального принуждения самостоятельно».
а текстом самого лицензионного договора
По американскому праву GPL это лицензия, а не договор (contract). Нарушая лицензию, вы нарушаете только авторские права. Поищите "gpl is not a contract".
Если только одно известное мне исключение: дело SFC vs Visio, где они добиваются, чтобы конечный пользователь мог запрашивать исходники: https://sfconservancy.org/copyleft-compliance/vizio.html
SFC считает GPL взаимным договором (reciprocal contract).
Why this case matters
This case could help establish whether you, as a consumer, have the right to modify and improve the technology you've purchased rather than being forced to use it exactly as manufacturers dictate.
The lawsuit is filed as a third-party beneficiary of GPLv2 (the license and contract that Linux and other software uses). This means that, as a purchaser of a Vizio TV, SFC has rights in the contract that Vizio has with the developers of Linux and other software Vizio uses.
Это исключение, потому как у ядра Linux тысячи авторов, а не единицы, как у обычных программ.
Вот здесь разбирается, как обстоит дело в US, UK, EU:
https://lwn.net/Articles/747563/
https://archive.fosdem.org/2018/schedule/event/licenses_and_contracts_eu_us/
Там как раз разбирается, в каких случаях и юрисдикциях третье лицо может качать права (third-party beneficiary right), и что именно можно запросить у нарушителя:
US: Third-party rights depend on the wording. Orders for specific performance are rarely granted but are theoretically possible. You won't get legal costs awarded, and exclusion of liability is likely to be valid.
UK: No third-party rights exist. Orders for specific performance are not available.
EU: Third-party rights do exist, and specific performance is available. Nothing was said about legal costs, and liability exclusion is possible but is subject to the the requirements of proportionality and consumer protection.
А бывают просто дурацкие ситуации: JBIG-KIT лицензируется по GPL и по коммерческой лицензии. Коммерческая лицензия просто позволяет использовать тот же самый код не под GPL. При этом в самом коде библиотеки есть строчка "Licence: GPL", и Маркус Кунн, автор этой библиотеки, признавался, что покупатели коммерческой лицензии не всегда эту строчку меняют. Иными словами, в коде написано, что он GPL, а он не GPL, а третье лицо не знает об этом.
Поэтому чтобы применить third-party beneficiary right, нужно сперва хотя бы убедиться, что автор на вашей стороне.
GPL действительно обязывает предоставить исходные коды по-запросу, но нигде не сказано что это должно быть бесплатно и никак не регламентируется размер вознаграждения. Поэтому когда с таким лезли к зарубежным дистроделателям, те сразу выкатывали прайс с космической суммой и пометкой "ничего личного, нас Столлман научил". Прецеденты пользовательского экстремизма уже были, а сидеть и отправлять сутками исходники всем "страждущим" никто не будет. Эти же Редсофты непуганные - пообещали и даже что-то отправляли (там ещё смотреть надо, что просили и как просили). А надо было счёт выставить на пару лямов и предложить прислать почтовый адрес куда после оплаты счёта будет отправлен компакт-диск с недоложенными исходниками make (нигде в Internet не скачать, ага) заказной бандеролью. Всё в полном соответствии с GPL. Не делай людям добра - не получишь зла, всё что можно здесь сказать. А Редсофту спасибо за поднятие знамени CentOS 7, долгие годы и больше мозгов при общении с патентными троллями.
но нигде не сказано что это должно быть бесплатно и никак не регламентируется размер вознаграждения
На самом деле в GPLv3 это регламентируется для случая, когда бинарники предлагаются для бесплатного скачивания (что в случае RED OS как раз и происходит — и дистрибутив, и обновлённые пакеты из репозитория выложены в открытый доступ):
d) Convey the object code by offering access from a designated place (gratis or for a charge), and offer equivalent access to the Corresponding Source in the same way through the same place at no further charge. You need not require recipients to copy the Corresponding Source along with the object code. If the place to copy the object code is a network server, the Corresponding Source may be on a different server (operated by you or a third party) that supports equivalent copying facilities, provided you maintain clear directions next to the object code saying where to find the Corresponding Source. Regardless of what server hosts the Corresponding Source, you remain obligated to ensure that it is available for as long as needed to satisfy these requirements.
Получается, что если бинарники раздаются бесплатно и без ограничений, то и соответствующие им исходные тексты должны быть также доступны бесплатно и без ограничений.
В GPLv2 в настолько явном виде это требование не записано, так что формально требование оплаты услуги по записи и отправке диска в этом случае может и проходить.
при общении с патентными троллями
А где они?
Вы неправы! Лицензия GPL требует предоставлять исходные коды.
Замечу, в отличии от лицензии BSD.
Ульяновск.BSD - коммерческий продукт, производный от исходных текстов, распространяемых по лицензии BSD. И вот по нему правообладатель ИМЕЕТ ПРАВО не предоставлять исходные тексты ПО.
Ждём, когда наши юристы это осознают.
еще можно было распечтать на бумаге на матричном принтере. пусть читают.
пользователь не является стороной договора GPL;
Кто в данном контексте есть «пользователь»?
А надо было счёт выставить на пару лямов и предложить прислать почтовый адрес куда после оплаты счёта будет отправлен компакт-диск с недоложенными исходниками make (нигде в Internet не скачать, ага) заказной бандеролью
Ст. 10 ГК РФ. Достаточно заявить менее дорогой способ получения исходников, организацию которого получатель берет на себя, например, нанимается Алёшка в городе, где находится офис разработчика, на адрес Алёшки заказывается новый внешний НЖМД типа ССД, Алёшка едет в офис компании, передаёт этот НЖМД представителю компании в невскрытой упаковке с копией документов о происхождении этого НЖМД, ждёт достаточное для копирования время, получает обратно НЖМД в опечатанной компанией упаковке с сопроводительной документацией/реестром (продукт и версия, исходники которых записаны). Далее Алёшка пересылает это заказчику выбранным им самим способом. Максимально дёшево, на техническую недоступность способа не сослаться, попытки настаивать на более дорогом способе получения исходников будут являться попыткой причинить необоснованный ущерб заказчику.
А кто сказал, что "пара лямов" - это стоимость CD-диска и пересылки? Это стоимость работы по подготовке и записи фалов. Диск бесплатный, пересылка тоже в подарок.
GPLv2, 3.b
Наличие самих исходников есть обязанность распространителя. Распространитель по российскому законодательству не может произвольно перекладывать бремя несения издержек на выполнение своих обязанностей по заключенному им договору на контрагента, тем более, постфактум. Таким образом, подготовка слепка исходных кодов не может включаться в смету оплачиваемых контрагентом расходов. Остается только часть расходов, связанная с получением под акт НЖМД от контрагента, подключение этого НЖМД к устройству, выполнение операции копирования каталога исходных кодов, отключение НЖМД, его пломбирование, выдача его представителю контрагента под акт вместе с реестром записанных на НЖМД программ в виде исходных кодов. Причем, пломбирование — вещь опциональная, распространитель может отказаться от этого, но тогда лишается права ссылаться в судах на то, что контрагент в иске указал совсем не то, что фактически записал распространитель, следовательно, пломбирование не может быть включено в смету.
С учётом прямого указания лицензии на то, что взимаемая плата должна быть минимально необходимой для покрытия этих издержек, истребуем у распространителя экономическое обоснование заявленных двух миллионов.
Ну наконец-то кто-то довёл GPL до конца в наших реалиях
Цель же не в этом судя по всему - хотели бы выложили сразу. Скорее всего цель была пощекотать OSF/FSF и обозначить себя на радаре (заявить о себе). Мне напоминает историю с Денисом по сборке дистрибутива Linux, но теперь уже на уровне государства. Если бы что-то было сделано значимое и имело прикладную ценность, то об этом бы было написано и заявлено, а так воду мутят и все... Думаю, что лучше уж внимание фокусировать на Embox или KasperskyOS вот это куда больше шансов в современных реалиях, а с OpenSource теперь будет постоянно политическая и непонятная история.
Именно тау!
Мутят воду и пиарят себя и не более того
Цель была проверить, как это работает на практике в России, и это важно — было всего одно значимое дело, где был замешан GPL и нарушено авторское право. И оно не показательно, так как сам автор судился с компанией.
На Переславль-Залесской конференции СПО и в прошлом году затрагивали юридическую тему, где один из специалистов отметил, что у неназванной компании за несоблюдение GPL отзывали сертификацию Минцифры на продукт (какое-то железо).
А из этого доклада я узнал, что можно действовать по пути защиты публичного интереса/контрафакта через прокуратуру, и главное успешно: я как раз сейчас добиваюсь раскрытия исходников под GPL от производителей «российских» принтеров.
Для начала можно попросить официальный перевод лицензии gpl и после того как все обнаружат, что его нет - послать в далекое пешее.
Далее вспоминаем, как Торвальдс удалил разработчиков из списка авторов, и вызываем тройку НКВД к ребятам, которые эту суету начали.
Вообще ситуация крайне нелепая. Не то время, чтобы устраивать разборку на эту тему, с учетом множества кидков от иностранных партнеров.
Лицензию gpl и других нужно как то прописать в законах, прям с упоминанием этой абривиатуры и сделать рабочей для защиты отечественных авторов.
Для начала можно попросить официальный перевод лицензии gpl и после того как все обнаружат, что его нет - послать в далекое пешее.
Сделать нотариально заверенный перевод не проблема, российские суды не в первый раз сталкиваются с тем, что исходники документов не на русском.
Далее вспоминаем, как Торвальдс удалил разработчиков из списка авторов, и вызываем тройку НКВД к ребятам, которые эту суету начали.
Так ведь ущемляется-то свобода не Торвальдса, а пользователей. Которые, в массе своей, россияне. Пользователям гарантировано право получить исходники. Это право российских пользователей "Ред Софт" нарушает.
Пользователям
Не пользователям, а лицензиарам. Это часто одни и те же лица, но далеко не всегда. Именно поэтому я местный люд неоднократно спрашивал, откуда они взяли такую чушь, будто на пользователей лицензия жопаели не распространяется. Судя по молчанию, они сами не понимают, что несут, просто где-то слышали краем уха.
Тут главное не перепутать исходники документов, которые подписывали конкретные лица, с какими то надписями в файлах, что они распространяются по какой то неведомой лицензии.
С такой позицией, кстати, можно линукс запретить, потому что авторов исходного кода вычеркнули, причем незаконно. Они банально могут обратиться в суд обвиняя линукс в воровстве их интеллектуальной собственности и запретить распространять продукт
Такая подлость прислать не те коды...я не понимаю зачем так было делать?
Вы не с той стороны на это смотрите. У разработчиков работа есть. Выполнять хотелки всяких бездельников у них нет ни времени, ни желания. Поэтому и отправляли они то, что под руку подвернулось. Исходники высылают не какие-то «инстанции», исходники высылают конкретные разработчики, на которых скинули обязанность это сделать. И почти наверняка это скинули на какого-нибудь стажёра, потому что опытных сотрудников отрывать от работы ради такого никто не будет.
Кто нибудь этой девочке расскажет что у них есть целый всеобщий репозиторий исходных кодов ? Ради чего шум развела непонятно.
Удивительно! Оказывается, нельзя просто скачать дистрибутив, удалить оттуда копирайты и установить свои Нескучные Обои (c) ?
ну теперь такое же и с астрой проверните
или зассали? там могут и на кукан посадить за такую попытку, крыша хорошая))
Браво! В феодальном государстве добиться результата.
Команда юристов добилась от «Ред Софт» исполнения лицензии GPL в «Ред ОС: Рабочая станция» и «Ред ОС: Сервер»