Устранение нарушения GPL в библиотеке mimemagic привело к сбою в Ruby on Rails
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Автор популярной Ruby-библиотеки mimemagic, насчитывающей более 100 млн загрузок, был вынужден сменить лицензию с MIT на GPLv2 из-за обнаружения в проекте нарушения лицензии GPLv2. В RubyGems были оставлены только версии 0.3.6 и 0.4.0, поставляемые под GPL, а все старые выпуски под лицензией MIT были удалены. Более того, разработка mimemagic была остановлена, а репозиторий на GitHub переведён в архивное состояние.
Данные действия привели к нарушению возможности сборки проектов, использующих mimemagic в качестве зависимости и поставляемых под лицензиями, несовместимыми с GPLv2. При использовании новой версии mimemagic разработчики других проектов, включая проприетарные (лицензия MIT допускает такое использование), обязаны перелицензировать свой код под GPL. Проблему усугубило то, что старые версии под лицензией MIT перестали отдаваться с RubyGems.org. Если на сборочном сервере не включено кэширование пакетов, попытка сборки проектов с прошлыми версиями mimemagic приведёт к сбою.
Под удар попал в том числе фреймворк Ruby on Rails, загружающий mimemagic в числе зависимостей. Ruby on Rails поставляется под лицензией MIT и не может включать компоненты под GPL. Проблема приняла глобальный характер - если напрямую изменение затронуло 172 пакета, то с учётом зависимостей пострадало более 577 тысяч репозиториев.
Нарушение лицензии GPL в проекте mimemagic связано с поставкой в коде файла freedesktop.org.xml, являющегося копией базы данных MIME-типов из библиотеки shared-mime-info. Указанный файл распространяется под лицензией GPLv2, а сама библиотека shared-mime-info под лицензией ISC, совместимой с GPL. Исходные тексты mimemagic поставлялась под лицензией MIT и поставка компонентов под лицензией GPlv2 требует распространения производного продукта под лицензией, совместимой с GPLv2. Сопровождающий shared-mime-info обратил на это внимание и автор mimemagic согласился с требованием изменить лицензию.
Выходом стало бы выполнение разбора XML-файла на лету, без поставки freedesktop.org.xml в составе библиотеки, но сопровождающий mimemagic заморозил репозиторий проекта, поэтому данную работу оперативно должен будет выполнить кто-то другой. Возможно, если автор mimemagic не пожелает вернуть своей проект в строй (пока он отказывается), потребуется создание форка mimemagic и замена зависимости во всех связанных проектах.
В качестве варианта также рассматривается переход завязанных на mimemagic проектов на библиотеку libmagic.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://www.theregister.com/20...)
- OpenNews: В RubyGems выявлено 724 вредоносных пакета
- OpenNews: Удаление Gem-пакета в знак протеста привело к проблемам в ряде систем на базе Chef
- OpenNews: Rubygems.org подвергся взлому
- OpenNews: Инцидент с захватом прав на NPM-модуль привёл к сбою в работе проектов, использующих NPM
- OpenNews: Атака на зависимости позволила выполнить код на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний
Похожие новости:
- [Информационная безопасность, Системы управления версиями, Управление продуктом] Как мы устранили редкую ошибку, из-за которой пришлось разлогинить всех пользователей Github (перевод)
- [Ruby, PostgreSQL] PGHero — дашборд для мониторинга БД PostgeSQL
- Интервью с Юкихиро Мацумото, создателем языка Ruby
- Доступен интерпретатор mruby 3.0
- [Ruby, Ruby on Rails, Администрирование баз данных, Микросервисы] Синхронизация баз данных между монолитом и микросервисами с помощью Kafka. Наше решение
- [Ненормальное программирование, Ruby, Программирование, Go] Запускаем скрипты Ruby из Go Lang
- [Программирование, Учебный процесс в IT, Карьера в IT-индустрии, Конференции] Бесплатные онлайн-мероприятия по разработке (1 марта — 7 марта 2021)
- [Ruby, Ruby on Rails] Как перейти с secrets на credentials (Ruby on Rails) (перевод)
- [Программирование, Разработка игр, Управление персоналом, Социальные сети и сообщества] LuxCity — стратегия для разработчиков, где код решает все
- [Информационная безопасность, Ruby on Rails, CTF] HackTheBox. Прохождение Jewel. RCE в Ruby on Rails, sudo и google authenticator, выполнение кода в gem
Теги для поиска: #_ruby, #_gems, #_rails
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 19:10
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Автор популярной Ruby-библиотеки mimemagic, насчитывающей более 100 млн загрузок, был вынужден сменить лицензию с MIT на GPLv2 из-за обнаружения в проекте нарушения лицензии GPLv2. В RubyGems были оставлены только версии 0.3.6 и 0.4.0, поставляемые под GPL, а все старые выпуски под лицензией MIT были удалены. Более того, разработка mimemagic была остановлена, а репозиторий на GitHub переведён в архивное состояние. Данные действия привели к нарушению возможности сборки проектов, использующих mimemagic в качестве зависимости и поставляемых под лицензиями, несовместимыми с GPLv2. При использовании новой версии mimemagic разработчики других проектов, включая проприетарные (лицензия MIT допускает такое использование), обязаны перелицензировать свой код под GPL. Проблему усугубило то, что старые версии под лицензией MIT перестали отдаваться с RubyGems.org. Если на сборочном сервере не включено кэширование пакетов, попытка сборки проектов с прошлыми версиями mimemagic приведёт к сбою. Под удар попал в том числе фреймворк Ruby on Rails, загружающий mimemagic в числе зависимостей. Ruby on Rails поставляется под лицензией MIT и не может включать компоненты под GPL. Проблема приняла глобальный характер - если напрямую изменение затронуло 172 пакета, то с учётом зависимостей пострадало более 577 тысяч репозиториев. Нарушение лицензии GPL в проекте mimemagic связано с поставкой в коде файла freedesktop.org.xml, являющегося копией базы данных MIME-типов из библиотеки shared-mime-info. Указанный файл распространяется под лицензией GPLv2, а сама библиотека shared-mime-info под лицензией ISC, совместимой с GPL. Исходные тексты mimemagic поставлялась под лицензией MIT и поставка компонентов под лицензией GPlv2 требует распространения производного продукта под лицензией, совместимой с GPLv2. Сопровождающий shared-mime-info обратил на это внимание и автор mimemagic согласился с требованием изменить лицензию. Выходом стало бы выполнение разбора XML-файла на лету, без поставки freedesktop.org.xml в составе библиотеки, но сопровождающий mimemagic заморозил репозиторий проекта, поэтому данную работу оперативно должен будет выполнить кто-то другой. Возможно, если автор mimemagic не пожелает вернуть своей проект в строй (пока он отказывается), потребуется создание форка mimemagic и замена зависимости во всех связанных проектах. В качестве варианта также рассматривается переход завязанных на mimemagic проектов на библиотеку libmagic. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 19:10
Часовой пояс: UTC + 5