]LinuxCon2010/Introducing the Binary Analysis Tool
Introducing the Binary Analysis Tool
Shane Caughlan(gpl-violations.org)
途中でプロジェクタが写らなくなったので、口頭でディスカッションしながらセッションを進めた。
gpl-violations.org
gpl-violations.orgは2004年から開始した。
バイナリを自動で検出するツールを開発中。
27カ国で260人以上のライセンスのプロをかかえている。
オープンソースの法的知識を展開している。
Look Fmiliar
- busybox訴訟の例
- OSSライセンス解析ツールを提供
- Fortinet
- D-Link
- 組み込み製品にLinuxが広がっている。
- メーカーもライセンス違反したくないが、エンジニアはライセンス知識を持ち合わせていない。マーケット、顧客は多様である。ライセンスに対する説明能力を備える必要がある。
Solutions Start at home
- リリースサイクルで確認する。
- 解析
- リリースプロセスに解析を組み込む
- 知識
- ドキュメントに残して、ノウハウを共有する。
ツールの紹介
GPL-violation.orgは、ツールをリリースした。Apache2ライセンス。
- ツールの説明
- ソースコード、バイナリを解析するツール。
busyboxを使っているか、どんなコンフィグレーションで使っているか、ライセンスの根拠となる。
シリアルポートから解析できる場合もあるし、
Linuxベースのシステムからネットワークでポートスキャンして解析できることもある。
busyboxやカーネルモジュールがどうやってリンクしているかがライセンス判断の要素になる。
プログラム名やバージョンの文字列を取得する。
Linkしてるライブラリシンボル名を参考にする。
動作しているデータから取得するのでリバースエンジニアリングにならないと考えれる?
LZMAで圧縮されたコード、ストリップされているコードても、ある一定の間隔でコードがならんでいる。
GPLのコンプライアンスガイドがフリーのPDFで公開されているので見てほしい
コンプライアンスエンジニアリングの可能性
GPL-violationsでも多くの事例を確認しており、ビジネスの市場は明確にある。
また、コンプライアンスエンジニアリングのノウハウは共有すべきである。