Комментарии 55
Судя по содержимому репозитория и строке в письме
of used OSS
они прислали ему только код используемых библиотек/софта, но не код, который эти библиотеки/софт использует. Соответствует ли это требованиями LGPL?
Да, LGPL разрешает компоновку с проприетарным софтом. При условии, что это только компоновка.
Кстати, многие путают этот момент, и думают, что с LGPL нельзя делать статическую линковку, оставляя остальную часть закрытой.
На самом деле можно, важно, чтобы у пользователя была возможность изменить исходный код библиотеки под LGPL и пересобрать весь пакет с изменённой версией.
Компании, как правило, предпочитают с этим не возиться и использовать динамические библиотеки, но да — ваше замечание справедливо. В прицнипе так — тоже можно.
Дополню, что это требует наличия объектных файлов проприетарной части и инструкции по линковке, чтобы можно было перелинковать с измененной LGPL библиотекой.
Я вижу патчи, которых я не вижу за пределами bmw, например: 1000-com.st.havana.kernel-207-7.patch
GPL требует открыть код модификаций в GPL продукт его пользователю. Это требование выполнено. Очевидно, они не будут раскрывать код проприетарных блобиков из userspace'а, только изменённые GPL-версии.
Что ещё раз доказывает важность GPL по сравнению с BSD/MIT, которые позволяют "захапать и не давать".
Т.е. не альтруизм, а некое "добро с палкой"? :-)
Важность для чего, кстати?
А мне лично больше импонируют те, кто под BSD/MIT-лицензией и подобными работает — там искренние и по-настоящему свободные исходники. Не "я тебя буду любить, но ты должен любить меня, иначе разлюблю!", а "Я тебя люблю безо всяких условий, и ты не обязан любить меня".
P.S. Для тех, кто любит с плеча рубить: я не говорю, что GPL — плохо. Я говорю, что с моей точки зрения BSD/MIT более "свободная", нежели GPL.
Ох, это вот крайне философский вопрос. :)
Когда добро с кулаками, всегда появляется шанс насаждения добра насильно. А я вот лично крайне и категорически против "принуждения к добру", если позволите так выразиться.
"Добро, должно быть, с кулаками,
С хвостом и острыми рогами,
С копытами и с бородой.
Колючей шерстию покрыто,
Огнем дыша, бия копытом,
Оно придет и за тобой!...", (с)
Можно и так и так, при этом разный смысл вкладывается. Попробуйте с интонацией прочитать, выделяя или не выделяя паузами эти два слова.
Если оставить в запятых, то можно переделать последнюю строчку на:
«Придет, гневясь, и за тобой!»
Я говорю, что с моей точки зрения BSD/MIT более «свободная», нежели GPL
Я тоже тратил время и карму в спорах о свободе и свободности GPL, пока где-то не прочёл высказывание Столмана на этот счёт: свободный код под GPL — это free не как free beer, и не как free speech, а как free person.
Вы подразумеваете свободу программиста использовать чужой код — в этом понимании BSD/MIT «более свободные», тут я с вами согласен.
Если же подразумевать свободу именно кода самого по себе, то свободней GPL трудно что-то придумать.
Я, признаться, уже не так склонен к излишнему философствованию в неурочное для этого время, как ранее. :)
И уж тем более не хочу наделять код мистическими свойствами. Высказывание, на которое вы ссылаетесь, широко распространено, но в корне неверно: человек имеет возможность распоряжаться собой, а код, по понятным причинам, не имеет. Поэтому, как мне кажется, единственное свойство "свободы" кода — это то, как им может распорядиться НЕ его автор. И в этом ключе свободы у MIT-лицензии гораздо больше.
Хотя, опять же, я совершенно не хотел бы превратить дискуссию в некое подобие религиозной или её как-то "тяжелить".
Пытаясь найти аналогию: думаю, понятно, какой из двух людей вызовет у меня большую симпатию, если один из которых делает что-то с мотивом "Я сделаю тебе добро, но ты в ответ обязуешься сделать добро тоже", а второй "Я делаю тебе добро, распоряжайся им как хочешь". При этом то, что оба делают добро, заслуживает уважения. И это мы ещё не начали выснять мотивы… :-D
человек имеет возможность распоряжаться собой, а код, по понятным причинам, не имеет.
Это временное явление и над этим — куча народу работает. Пока получается «не очень», но всё впереди…

Но да: GPL это свобода кода, BSD — это свобода пользователя этого кода.
GPL отстаивает свободу экосистемы. BSD даёт большую свободу конкретному пользователю. Дальше балланс между common goods и personal gain.
Я очень не верю в навязанное общее благо в ущерб благу индивидуума. С моей точки зрения общее благо может формироваться только и исключительно из добровольного желания членов общества. Иначе рано или поздно всё заканчивается террором. Иногда — надеюсь, что это только пока, правда, надежда эта безнадёжная и несбыточная — невозможно обойтись без принуждения, но искренне считаю, что его должно быть как можно меньше.
Да не проблема ни разу. Прекратите использовать вещи, которые смогли возникнуть только из-за того, что кто-то "навязал" благо обществу в ущерб благу индувидуума (как то: компьютер, процессов и прочие разные "побрякушки") и можете продвигать свою философию дальше. А нам тут без вас будет гораздо лучше.
Извините, логику с навязыванием компьютера не понял. Хотя хамство уловил в последнем предложении, да.
всё это разные плоскости, практическую пользу нужно как-то более комплекстно смотреть.
С нашей колокольни — мы не используем GPL софт, это значит, не находим в нём баги, не репортим их, сами не чиним. В то же время, используя BSD/MIT/Apache — натыкаемся, репортим, отправляем патчи. Без всякого принуждения к этому, просто нам так выгоднее.
Многие боятся использовать GPL-код, так как боятся, что это обяжет их где-то публиковать свои собственные разработки использующие этот GPL-код.
Например, есть большой фреймворк ExtJS под GPLv3 и какой-то совсем негуманной коммерческой лицензией. Если я использую GPL-версию для построения GUI корпоративного веб-приложения — какую часть своего кода и кому я обязан буду публиковать?
Я — заказчику? Ну так он и так получает всё в виде исходных кодов.
Или заказчик обязан публиковать исходный код своим сотрудникам, пользователям приложения?
И можно ли считать публикацией исходный код страницы, видный по ctrl+u? :)
вопрос не в том, боимся мы или нет.
Вопрос в том, что совершенно не очевидно, что в итоге выгоднее для сообщества — требовать публиковать изменения или отсутствием таких требований, привлекать больше разработчиков, и получать "эти же самые" изменения на совершенно добровольной основе?
>> мы не используем GPL софт, это значит, не находим в нём баги

«Разработчики несвободных программ, стремясь лишить свободных конкурентов важного преимущества, будут пытаться убедить авторов не вносить библиотек в набор, распространяемый по GPL. Например, они могут взывать к самолюбию, обещая “рост числа пользователей этой библиотеки”, если мы позволим им применять ее в несвободных программных продуктах. Популярность соблазнительна, и для разработчика библиотеки легко обосновать мысль, что рост популярности этой конкретной библиотеки — это то, в чем сообщество нуждается больше всего.

Но мы не должны поддаваться на эти уговоры, потому что мы можем достичь гораздо большего, если встанем плечом к плечу. Мы, разработчики свободных программ, должны поддерживать друг друга. Выпуская библиотеки, которые ограничены только свободными программами, мы можем сделать так, чтобы наши свободные пакеты помогали друг другу превзойти несвободные альтернативы. Популярность движения за свободное программное обеспечение в целом будет выше, поскольку свободное программное обеспечение в целом будет более сплоченно противостоять конкуренции.»

http://www.gnu.org/licenses/why-not-lgpl.ru.html
"мы можем сделать так", это одно, а "мы делаем так, вот цифры от года к году", это совершенно другое.
И не забываем "сплоченно противостоять конкуренции" — конкуренции с кем? В данном контексте с теми, кто пишет код под более свободными лицензиями?
Там всё прозрачно написано — конкуренция с закрытым софтом.
GPL помогает обеспечить конкурентное преимущество.
Так в данном случае конкуренция получается между "свободным" и "более свободным" софтом. Потому что одни библиотеки используются коммерческими разработчиками, в них вносятся правки. А в другие — которые коммерческие разработчики использовать не могут — не вносятся. Т.е. первые развиваются быстрее, получается?
Вашими бы словами да мёд пить. Сколько раз я видел картинку, когда честно тащили патчсеты, часто в тысячи строк, с болью их портируя из версии в версию, но всё-таки сами — потому что "с апстримом тяжело общаться". И лицензия на этот феномен не влияет никак.
Ситуаций когда с апстримом тяжело общаться я знаю и по опыту коллег, и даже по своему собственному.
Но да, это к лицензии никаким боком, а с постепенным переползанием всего и вся на Git/GitHub, этот момент тоже упрощается, гораздо легче форкать и мержить, чем раньше с патчами в почте, и сбоку у себя.
Да что говорить — вон, коллега в соседней комнате, допиливает иногда что-то в системе тестирования java swing ui. На отправленный патч маинтейнер сказал "спасибо", и никак не отреагировал. "Проблема" в том, что хостится оно на sf. Я предлагал ему сразу форкать на GitHub, но оно скорее мертвое, особо нечего оттуда мержить, поэтому пока так.
А вот то, что активно живое, там и на issue отвечают, да и в целом всё нормально с общением.
Этот факт с BMW больше важен в том плане, что корпорация уважает и соблюдает требования лицензии. Тот момент, что у пользователей появляется возможность поковыряться в прошивке автомобиля, здесь роли не играет. Ну хотя бы потому, что (ИМХО, конечно), пользователям там делать нечего. Вероятность того, что сторонний контрибьютор «с нуля» в продукте подобного размера что-то сможет улучшить, крайне невелика. Зато что-то ухудшить, или в порядке эксперимента сделать какой-то мод прошивки своего авто, это запросто. Но BMW-то несет ответственность за качество автомобильного софта, а они никакой ответственности не несут.
Ну уважают они требования лицензии или нет — мысли менеджеров мы читать не умеем.
Понятно, что у bmw целый штат юристов, которые защищают компанию от возможных проблем, в том числе обеспечивая выполнение условий лицензий.
Вы так странно пишете… в 2013 году многие марки машин можно было заставить перестать слушаться водителя удаленно. Всплыло это потому что кто-то таки расковырял прошивку. Само собой производители не ответили и не понесли наказания (кто? какую отвественность?).
"Вероятность того, что сторонний контрибьютор «с нуля» в продукте подобного размера что-то сможет улучшить, крайне невелика."
Ну типа да — нельзя стало включить АБС на ровной дороге удаленно. Невелик фикс.
Ну и пруфы, кто ж я без пруфов — https://www.youtube.com/watch?v=OobLb1McxnI
[зануда mode]Система АБС у современного автомобиля включен вообще постоянно, без какой-либо возможности отключить ее из салона. Вот ESP — да, можно отключать иногда, но при старте она обычно автоматом активируется. Иначе все старания той же BMW по обеспечению безопасности насмарку[/зануда mode]
Там было немного другое — они получили доступ к CAN-шине через головное устройство (которое само по себе не сильно отличается от смартфона). Т.е. взлом был через девайс со стоковой ОС, подключенный к бортовой шине. Грубо говоря, это больше аппаратная дыра в безопасности, а не программная.
> Само собой производители не ответили и не понесли наказания
Хм. Ответить и понесли наказание, это вы что имеете в виду? Кто-то совершил преступление? Кто-то пострадал? Кто-то понес материальный ущерб? Или вы предлагаете превентивно штрафовать каждого человека, про кого эксперт в лаборатории докажет, что он имеет физическую возможность взять в руки топор и зарубить старушку-процентщицу? ;)
Если аккуратно назвать вещи своими именами то взлом провели через сертифицированное производителем головное устройство. Слово "стоковая" не имеет в этом случае смысла. Это "кастомная" версия софта заказанная и принятая производителем машины.
Не знаю внимательно ли вы смотрели но головное устройство не подключено к шине, оно подключено к мосту. Просто мост оказалось можно перешить прямо в пути.
Честно говоря юридически мне трудно что-то сказать, но наличие
  1. Смотрящего наружу D-BUS
  2. Отсутствие файервола
  3. Возможность перешить мост
    это очень серьезные просчеты, которые могли привести катастрофе масштаба 9/11. Когда сотни машин разом тормозят и летят куда-то штат за штатом.
    Конечно именно для того компании и кормят своих юристов чтобы реже отдавать код, препятствовать его анализу и улучшению итп. Возможно состава преступления в таком разгильдяйстве и нет никакого.

Но факт остается фактом — левые чуваки в свободное время, рискуя своей машиной исправили очень неприятную дыру.
Я полагаю, слово «сертифицированное» тут все-таки лишнее. Разве автомагнитолу кто-то сертифицирует? Там наверняка был обычный Андроид (честно, подробности того взлома в свое время читал, но уже деталей не помню, конечно, а снова перечитывать лень), и то, что для него сделали скин в стиле автопроизводителя, сути не меняет.

> это очень серьезные просчеты, которые могли привести катастрофе масштаба 9/11
Теоретически — да, вероятность ненулевая. Но какова тут ответственность автопроизводителя? Разве должен нести производитель чего-либо ответственность за ущерб, который нанесли преступники, и который без преступных действий злоумышленника в принципе невозможен?

> левые чуваки в свободное время, рискуя своей машиной исправили очень неприятную дыру.
Во-первых, чуваки это делали не ради заботы о водителях, а ради азарта и ради славы. Если бы им нужно было сделать доброе дело, это бы не оформляли как крутое хакерское шоу, а просто написали бы в компанию отчет про найденный способ взлома. Я их, упаси боже, не осуждаю (ибо не за что), а просто… аккуратно называю вещи своими именами :)
Во-вторых, а исправили? Уже не перепрошивается? (опять же таки, это вопрос, т.к. я не слышал про то, что автопроизводители занялись анализом вероятности подобного взлома)
возможность внести изменения в код ещё никак не гарантирует возможности залить этот новый код в машину.
GPL — отвратительная лицензия, которая тормозит разработку софта. Просто потому, что во многих случаях нельзя просто взять в свой проект библиотеку, если она под GPL, и приходится писать тот же велосипед самому.
Теоретически можно, если библиотеки не будет в поставке вашего софта. Просто это лишний геморрой для конечно пользователя.
Отвратительная? Ну да, мерзкие людишки пишут свой софт и публикуют его под GPL, что не даёт вам его использовать в своём проприетарном продукте. Так? Вот ведь негодяи. И лицензия плохая.
Поправка — тормозит разработку проприетарного софта компаний, которые хотят поднять денег на всём готовеньком, ничего не отдавая взамен авторам кода. Так туда им и дорога. Вам никто ничего не должен.
Странно что в машине не используют ОС реального времени. Видать, специалистов по QNX мало осталось
По словам моего бывшего коллеги, который работал с QNX, драйверов там мало (он даже начал изучать линукс, чтобы портировать нужные ему драйвера под QNX)
Это еще мягко сказано. У меня коллега пытался привязать OpenCV и тоже, мягко говоря, задолбался. Да и не нужна ОС РВ для авто. Все приоритетное — на аппаратном уровне, остальное — то, что можно отдать софту, не требует критичного времени исполнения.
Вы же не думаете что впрыск топлива в цилиндры например управляются непосредственно из операционной системы?
ОС там для мультимедиа функций, музыку послушать, карты посмотреть, красивые иконки для климатконтроля показать.
Ну… Чем больше в системе мусора, тем вероятнее получить к этой системе доступ, используя дыры этого мусора. Зачастую самые неожиданные, как то уязвимость bash.
А уж что с помощью этой дыры поломать — уже дело техники.
И как мне кажется, удаленное внезапное включение всего безобидного света в салоне, в то время пока авто едет на скорости по улице в ночном городе — столь же опасно для жизни, как и впрыск топлива в цилиндры.
Лампочками разве что взять на испуг можно. вдруг испугается и дёрнет руль.
А вот если вмешаться в круизконтроль и начать методично повышать скорость, плюс включить АБС, чтобы водитель не мог затормозить…
Или отслеживать акселерометр системы ESP и активировать электронный ручник в крутом повороте...
Fiat/Chrysler использует в своих марках мультимедиа систему uConnect на QNX
Мне кажется это в интересах компании, раскрывать ПО такого рода.
Пусть лучше сейчас для интереса взломают несколько авто найдя баг в ПО, автопроизводители осознают вектора атак и предусмотрят защиту, чем через 5 лет наконец всплывёт примитивный баг в сотне миллионов автомобилей который будет доступен любому скрипткидису.
Чтоб не получилось как сетевыми принтерами, когда кто угодно может взять и распечатать миллионы обидных листовок, просто потому что ему это взбрело в голову.
По факту есть чего бояться, прямо на ходу, можно прошить абс и вообще отрубить тормоза. либо с одной сторону затормозить колёса. Можно климат, будет греть салон и можно получить тепловой удар, либо зимой сделать ещё холоднее. Можно дёрнуть руль в сторону, если есть электро усилитель руля. Можно много чего сделать. Даже то что выедете из салона на новом авто, а приедете на развалюхе. К тому же мультимедиа система подключается к CAN. Просто всё зависит как.
> Можно климат, будет греть салон и можно получить тепловой удар
Или вывести на экран магнитолы такую гамму цветов, которая вызовет эпилептический удар, или вообще подчинит волю пользователя :)
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.