RHELのソースコード非公開の経緯と影響 NRI OSSソリューションマガジン 2023.9.20発行 Vol.201
1.RHELのソースコード非公開の経緯と影響
Red Hat社が提供するLinuxディストリビューションRed Hat Enterprise Linux(以下、RHEL)を採用されている方は多数いらっしゃるかと思います。
Red Hat社がそのRHELのソースコードを限定公開とし、一般公開を停止する旨をブログで公開されていました。
元々、RHELのソースコードは一般公開されていました。
https://www.redhat.com/en/blog/furthering-evolution-centos-stream
ソースコードを限定公開としたRed Hat社に対して、多くの批判が寄せられました。
批判の一例として、Rocky Linuxのコミュニティからは、「オープンソースの精神と目的に違反している」とのことでした。
https://rockylinux.org/news/keeping-open-source-open/
各所からの批判に対して、Red Hat社からも反論がブログで公開されていました。
https://www.redhat.com/en/blog/red-hats-commitment-open-source-response-gitcentosorg-changes
ブログの内容を抜粋すると下記の通りです。
「当社の製品が使用するオープン ソース ライセンス (GPL を含む) を遵守します。」
「価値を追加したり、何らかの変更を加えたりすることなく、単にコードを再構築することは、どこのオープンソース企業にとっても真の脅威となります。 これはオープンソースにとって本当の脅威であり、オープンソースを愛好家やハッカーだけの活動に逆戻りさせる可能性を秘めています。」
つまり、RHELをクローンして開発したり、開発に携わらず無償でRHELを利用している人・コミュニティに対して大きく否定しています。
また、ライセンス規約は守っているので問題ないと発言しています。
RHELのソースコードが一般公開停止されたことで、RHELのクローンOSに影響があるようです。
RHELのクローンOSとして公開されている「Rocky Linux」「AlmaLinux」はそれぞれ下記の通り、対策を進めるそうです。
「Rocky Linux」
抜粋「すでに短期的な緩和策を作成し、長期的な戦略を開発中です。」
https://rockylinux.org/ja/news/2023-06-22-press-release/
「AlmaLinux」
抜粋「この変化に対する短期的および長期的な解決策については、今後数週間にわたって話し合う予定です。」
https://almalinux.org/blog/impact-of-rhel-changes/
上記、RHELのクローンOSは長期的な戦略を検討中であることから、採用を検討する際は今後の動向を注視して慎重に検討する必要がありそうです。
今後の動向には要注目です。
中々インパクトのあるOSSのニュースを今回ご紹介いたしました。
OpenStandiaではOSSの技術サポートを提供しています。
現在のサポート対象OSSは下記OpenStandiaサイトから確認できます。
◆OpenStandiaサポート対象OSS一覧
https://openstandia.jp/services/#supportlist
2.OSS紹介ページ 今月のアップデート(新規:1件、更新:9件)
(新規)
Casbin (https://openstandia.jp/oss_info/casbin/)
(更新)
Ionic (https://openstandia.jp/oss_info/ionic/)
Apache Struts (https://openstandia.jp/oss_info/struts/)
Samba (https://openstandia.jp/oss_info/samba/)
Apache Solr (https://openstandia.jp/oss_info/apachesolr/)
Kibana (https://openstandia.jp/oss_info/kibana/)
midPoint (https://openstandia.jp/oss_info/midpoint/)
Packer (https://openstandia.jp/oss_info/packer/)
MongoDB (https://openstandia.jp/oss_info/mongodb/)
Spring Boot (https://openstandia.jp/oss_info/springboot/)
3.OSS紹介ページ 今月のアクセスランキングTOP10
オープンソース情報ページ「OpenStandia OSS紹介」のアクセスTOP10をご紹介
→ 1位 (1位) Keycloak (https://openstandia.jp/oss_info/keycloak/)
↑ 2位 (3位) Apache HTTP Server (https://openstandia.jp/oss_info/apache/)
↑ 3位 (5位) PostgreSQL (https://openstandia.jp/oss_info/postgresql/)
→ 4位 (4位) Apache Tomcat (https://openstandia.jp/oss_info/tomcat/)
↓ 5位 (2位) MySQL (https://openstandia.jp/oss_info/mysql/)
↑ 6位 (ランク外) MinIO (https://openstandia.jp/oss_info/minio/)
→ 7位 (7位) PHP (https://openstandia.jp/oss_info/php/)
↓ 8位 (6位) Fluentd (https://openstandia.jp/oss_info/fluentd/)
↓ 9位 (8位) OpenShift (https://openstandia.jp/oss_info/openshift/)
↓ 10位 (9位) Jenkins (https://openstandia.jp/oss_info/jenkins/)
※( )内は前月の順位
◆OSS総合情報ページ「OpenStandia OSS紹介」はこちら
https://openstandia.jp/oss_info/
4.今月注目のバグ&セキュリティ情報
【Python】 XML plistファイルのエンティティ宣言を受け付けないplistlibモジュール
Pythonは、インタプリタ型の汎用プログラミング言語です。
Pythonで、XML外部エンティティ (XXE) の問題が報告されました。
この問題により、plistlibモジュールがXMLの脆弱性を回避するため、XML plistファイル内のエンティティ宣言を受け入れなくなります。
詳細は下記関連情報よりGitHubのAdvisory Databaseのページをご参照ください。
本脆弱性の影響を受けるPythonのバージョンは下記となります。
・Python
3.6.0 ~ 3.9.1
関連情報
・GitHub Advisory Database
An XML External Entity (XXE) issue was discovered in...
https://github.com/advisories/GHSA-crhm-wc96-7579
OpenStandia年間サポートサービスでは毎週、セキュリティアラートに関する情報、及びバグFIXに関する情報を提供しています。
◆OpenStandiaオープンソース年間サポートサービスのご紹介
https://openstandia.jp/services/