]LinuxCon2010/Introducing the Binary Analysis Tool

Introducing the Binary Analysis Tool
Shane Caughlan(gpl-violations.org)


途中でプロジェクタが写らなくなったので、口頭でディスカッションしながらセッションを進めた。

gpl-violations.org

gpl-violations.orgは2004年から開始した。
バイナリを自動で検出するツールを開発中。

27カ国で260人以上のライセンスのプロをかかえている。
オープンソースの法的知識を展開している。

Look Fmiliar

  • OSSライセンスは、プラクティスを共有すれば、あらゆるケースに対応でき、リスクを回避できるはずだ。
  • OSSライセンス解析ツールを提供
    • Fortinet
    • D-Link
  • 組み込み製品にLinuxが広がっている。
    • メーカーもライセンス違反したくないが、エンジニアはライセンス知識を持ち合わせていない。マーケット、顧客は多様である。ライセンスに対する説明能力を備える必要がある。

Solutions Start at home

  • リリースサイクルで確認する。
  • 解析
    • リリースプロセスに解析を組み込む
  • 知識
    • ドキュメントに残して、ノウハウを共有する。

ツールの紹介

http://gpl-violations.org/

GPL-violation.orgは、ツールをリリースした。Apache2ライセンス。


busyboxを使っているか、どんなコンフィグレーションで使っているか、ライセンスの根拠となる。

シリアルポートから解析できる場合もあるし、
Linuxベースのシステムからネットワークでポートスキャンして解析できることもある。

busyboxカーネルモジュールがどうやってリンクしているかがライセンス判断の要素になる。

プログラム名やバージョンの文字列を取得する。
Linkしてるライブラリシンボル名を参考にする。

動作しているデータから取得するのでリバースエンジニアリングにならないと考えれる?

LZMAで圧縮されたコード、ストリップされているコードても、ある一定の間隔でコードがならんでいる。

GPLコンプライアンスガイドがフリーのPDFで公開されているので見てほしい


コンプライアンスエンジニアリングの可能性
GPL-violationsでも多くの事例を確認しており、ビジネスの市場は明確にある。
また、コンプライアンスエンジニアリングのノウハウは共有すべきである。