Новость протухла, все использующие вроде должны сами отслеживать ситуацию, но наверняка есть слоупоки. На опеннете выложили не плохую обзорную статейку, а я покопипащу:
Брюс Перенс (Bruce Perens), один из авторов определения Open Source, соучредитель организации OSI (Open Source Initiative), создатель пакета BusyBox и один из первых лидеров проекта Debian (в 1996 году сменил на посту Яна Мердока), предоставил свою экспертную оценку действиям проекта Grsecurity, пытающегося противостоять переносу своих наработок в основное ядро Linux. Напомним, что в апреле проект Grsecurity полностью прекратил бесплатное распространение своих патчей и стал всячески препятствовать работе проекта KSPP (Kernel Self Protection Project), занимающегося переносом в основное ядро Linux методов защиты, развиваемых Grsecurity.
Мотивы борьбы с переносом Grsecurity в состав ядра достаточно разнообразные, от обиды из-за обхода в финансировании (вместо основного проекта Linux Foundation и Core Infrastructure Initiative выделили грант KSPP) и копирования решений без упоминания PaX/Grsecurity до нежелания загонять себя в жесткие рамки (Grsecurity достаточно вольно рассматривает вопрос соблюдения совместимости и требований к компонентам ядра, ставя на первое место обеспечение защиты), нежелания разбивать продукт на части (Grsecurity рассматривается как взаимосвязанное единое целое) и репутационных рисков (из-за некорректного переноса исправлений, введения ограничений для совместимости и переработок для соблюдения требований ядра реализация перенесённых в основное ядро технологий Grsecurity содержит ошибки и проблемы с безопасностью, которых нет в оригинальных патчах, что приводит к созданию половинчатых решений и создаёт лишь видимость повышения безопасности).
Так как для подписчиков патчи продолжают публиковаться под лицензией GPLv2, не исключено, что для поддержания реализации технологий Grsecurity в основном ядре и оперативного устранения ошибок, разработчики KSPP отслеживают текущее состояние патчей Grsecurity. Из-за того, что публичный доступ закрыт, источником утечки кода могут стать платные подписчики Grsecurity, которые имеют доступ к коду - так как код патчей под GPLv2 никто не запрещает им распространять эти патчи.
Дошло до того, что представители Grsecurity стали угрожать судебным иском из-за нарушений требований атрибуции (упоминание автора при копировании кода), а также добавили дополнительное условие, запрещающее клиентам передавать патчи третьим лицам под угрозой разрыва договора. Брюс Перенс предупредил, что данный шаг является явным нарушением лицензии GPLv2, которая не допускает наложение дополнительных условий на распространение кода. Так как патчи Grsecurity являются продуктом, производным от ядра Linux, они обязаны поставляться под GPLv2 или совместимой лицензией, не внося дополнительных ограничений.
Введение ограничений на распространение патчей делает невозможным их применение к ядру Linux, нарушает авторские права разработчиков ядра и приводит к расторжению лицензии GPLv2 и, как следствие, прекращению всех прав лицензиата, предоставленных ему данной лицензией. Компаниям рекомендовано избегать применения патчей Grsecurity, так как они нарушают условия распространения кода для ядра Linux и создают риск разрыва лицензионного соглашения на ядро. В свою очередь, Линус Торвальдс в свойственной ему манере посоветовал не связываться с Grsecurity и раскритиковал их подход к разработке, который оправдывает любые нарушения прежнего поведения целесообразностью повышения безопасности.
