Q&A
管理者の意思が大きい
例えば日本の場合、包丁を持った人が誰かを刺して死んだ時、「殺す意思があったか」どうかという非常に曖昧なポイントを基準にして罪の重さが変わります。
人を轢き殺して逃げても捕まらず嘘を述べても平然と生活できるような上級国民と言われている飯塚のような例外もあるようですが、基本的には行動と意思で決まる
ただしこの意思というのは本人ではなく客観的に見て読み取れるものになります。
OSSについて質問なんですが、自分で管理しているプロジェクトにプルリクエストを受けますよね。
それで、そのプルリクエストのコードに悪意のあるコードが入っていて、それを知らずに承認してマージしてしまった場合、どうなるのでしょうか?
その混入された悪意のあるコードによってそのプロジェクトが第三者に被害を与えた場合、責任を問われるのはプロジェクトの管理者ですか?
あとはライセンス違反の場合もそうです。
つまりプルリクエストを安易に受け入れると、プロジェクトの管理者は、最悪逮捕・損害賠償される可能性があるという認識で合ってますか?
世の中のOSS開発者はそんなリスクがあることをやってるのでしょうか?
回答ありがとうございます。
回答6件
0
ベストアンサー
一問一答で「普通・常識的に考えるとどうなるか」を前提にコメントしていきます。
OSSについて質問なんですが、自分で管理しているプロジェクトにプルリクエストを受けますよね。
それで、そのプルリクエストのコードに悪意のあるコードが入っていて、
それを知らずに承認してマージしてしまった場合、どうなるのでしょうか?
見もせずに承認するのはアホかと思いますね。
ちゃんとそのプルリクエストやコードを読みましょう。
ですが、それは中々な重労働です。
だからこそ、プルリクを作る側に配慮が必要なんです。
タイトルや内容は明確に記述する!
ソースコードの修正内容は超シンプル、誰でも一目で理解出来る!
そういうプルリクエストを作れや!きちんとしてない提案に価値なんてないやろって話なんですよ。
そこに過失があって読めない・読みづらいなら、読まずに突き返せばよろしい。
何故ならば「見もせずに承認は出来ない」から、
読みやすいプルリクを作る義務は提案者にあります。
その混入された悪意のあるコードによってそのプロジェクトが第三者に被害を与えた場合、責任を問われるのはプロジェクトの管理者ですか?
あとはライセンス違反の場合もそうです。
個人の開発者はMITライセンスを多様する傾向にあります。
このライセンスは「不具合が原因で何か損害被っても知らんよ?」と謳っているはずです。
ちょっとバグがあるとかそういうレベルじゃどうにもなりません。
よほど悪意の何か、
例えばスパイウェアとかウィルス配布していたー
みたいな事があって刑事事件とかに発展すればまた別ですが、
そんなウィルスみたいなのに書き換わっていれば何処かでツッコミやストップが入ります。
それに真摯に対応していれば、即逮捕!損害賠償!というケースは避けられるでしょう。
また盗作等のライセンス周りは見つける事が難しいですが、
プルリク作った提案者はともかく、採用者に関してはある程度は「被害者」という形で見られるはずです。
ログも残るので大問題にはなりづらいでしょう。
つまりプルリクエストを安易に受け入れると、プロジェクトの管理者は、最悪逮捕・損害賠償される可能性があるという認識で合ってますか?
そこは多少しゃあない所ありますけど、
知らない第三者が相手の場合、そのアカウントが何やっているかもちらっと見れば良いと思います。
Yahooオークションや、メルカリで
どう見ても今作ったアカウントで詐欺やっていますみたいな所からモノ買いますか?
基本的に全世界のエンジニアってGitHubでアカウント作った後、
アカウントを育てて自分の技術力をアピールして企業に就職したりしているんですよ。
そんなウィルスみたいなプルリク作ったら、
そのプロジェクト上で一生残るじゃないですか。
バレたらアカウントがゴミクズの信頼度になるから損ですよ。
なので、真っ当なアカウントはウィルスみたいなプルリク作りません。
多少ゆるくてもそんなヤバい事には滅多になりません。
世の中のOSS開発者はそんなリスクがあることをやってるのでしょうか?
「プルリク出すなら、明確に、簡素にしろや!」って話です。
怪しい相手ならアカウント内容をちらっとチェックする。
これでリスクはほぼ解消されたも同然です。
それに緩すぎて失敗しちゃっとしても、
その後の対応が真摯・まともなら大問題にはならないはずです。
投稿2021/01/22 06:17
総合スコア21203
>読みやすいプルリクを作る義務は提案者にあります。
確かに。これは確かに。
teratailの質問と似てるかもしれない。
プルリクだと、どっちかというと追記修正依頼か。
詳しい回答ありがとうございます。
日本人がネイティブ英語圏の人に伝わる英文が書けずに
Issueが読まれなかったり、プルリクが採用されない悲劇が多発していますからね。
やっぱりそういう事なんでしょうね。
金貰って公開してるわけでもないプロジェクトなのに、
プルリクを受けたら真摯に中身を精査しなきゃいけない!となると辛いですからね。
ほったらかし上等です。
「問題があれば勝手にフォークして勝手に直して使ってろ」
みたいなスタンスでも良いと思います。
> プルリク作った提案者はともかく、採用者に関してはある程度は「被害者」という形で見られるはずです。
これって、事例提示してもらえたりします?
かなり興味深いです。
これはちゃんとした事例のエビデンスがあっての話じゃなくて、
見知った例からの推測でしかありません。
OSS同士の訴訟ってまず無いから事例もなかなか……
参考にした企業がやらかした事例はこれです。
https://www.atmarkit.co.jp/ait/articles/0812/08/news122.html
> 最後の訴訟以外は和解が成立しています。4件とも似た条件で和解しています。
> a)利用したBusyBoxのソースコードをWebサイト上に公開する
> b)ユーザーに対してライセンスを告知する
> c)OSSライセンス順守に関する責任者を社内に設置する
> d)各社が、和解金を支払う
この事から企業がコードをパクったケースでも、
なんだかんだで「後からでもライセンス遵守すれば許してくれる」事が多いと判断しました。
つまり、個人のOSS開発でライセンス違反が判明した場合はこんな流れになると推測できます。
1. 他人から「このコードオススメだよ」って渡されたコードを承認してマージ
2. ライセンス持っている会社から警告が来る
3. 事実関係の洗い出し(大変なので問題ではある)
4. 落とし所を見つけて和解する為の対話
5. じゃあその部分のコードをライセンス違反のないように書き直しましょう
6. 和解成立
普通に「申し訳ありません」という感じで頭下げて殊勝にしていれば
すぐに損害賠償や刑事事件で、社会的に死ぬような事態にはまずならないというニュアンスで問題ないとしています。
事例紹介ありがとうございます。
ただ、私の質問に対してのコメントとしてはちょっとズレてませんか?提示された事例では、採用者は「被害者」として見られてなかったと思います。
後以下が気になりました。
> この事から企業がコードをパクったケースでも、
> なんだかんだで「後からでもライセンス遵守すれば許してくれる」事が多いと判断しました。
これは間違いかと。いくつかの OSS ライセンス違反の判例で、プロダクトの販売差し止め等の経営に厳しい判断が下っています。
また、判例は分かりませんが、ライセンスの解釈として「一定条件の元で発行した著作権の権利の不行使宣言」ととらえる考え方があり、こちらだと刑事事件として結構重い刑事罰に問われることになります。
いずれも個人を対象に訴訟されるようなものでもないので、現実的には miyabi-sun のコメントの通りになるかもしれませんが、背負うリスクとしてはデカい気がします。
0
ここは法律相談をするところじゃないんで法的責任云々には触れないけど、マージするって事はその内容をチェックして受け入れるってことだから、そもそも「知らずに承認してマージ」ってのが通用するわけがないと思うけど。
投稿2021/01/22 02:51
総合スコア8947
0
管理者だからと言って無限責任があるわけでもなく、免責が記載されているから無罪放免というわけでもないので、実際に刑事責任や損害賠償責任を問われるかはケースバイケースと思われます。「管理者なんだから当然」的な回答をされている方は、あるべき論や精神論を語っておられるのでしょう (別にそれはそれでいいと思いますが)。
個人的には以下の認識です。
- OSS のバグで逮捕や損害賠償という事例はないと思う(多分)
- 悪意のあるプルリクエストのマージで逮捕や損害賠償という事例もないと思う(多分)
- OSS にマルウェアの機能が追加された事例はある。下記は引き継いだ管理者に悪意があったケースだが、不正指令電磁的記録作成等罪に該当するのでは (被害者はいなかったはず)。
event-stream事件: https://qiita.com/yuta0801/items/012e09cb0fae5665cf27 - OSS の配布パッケージ等が不正なものに差し替えられた事例は山ほどあり、管理上の過失と言えるだろうが、逮捕や損害賠償というのは聞いたことがない。
なお、「alert を無限ループするページ」の URL を掲示板に書き込んだことで、不正指令電磁的記録供用未遂の疑いで書類送検される時代です (その後不起訴)。悪意あるプルリクエストをうっかりマージしてしまったことで、逮捕される事例が今後発生してもおかしくはないとは思います。
投稿2021/01/22 05:07
総合スコア2022
回答ありがとうございます。
alertの件は確かにそうですね……。
0
自分で管理しているプロジェクト
なら当然ですね。
「管理してる」ということは「全責任を持つ」ということですから。
企業における「管理職」は、配下のメンバー全ての責任を持ちます。同じです。
投稿2021/01/22 03:05
総合スコア80875
軽い気持ちでOSSやってましたが、けっこう重いんですね。
OSSに限った話はしてません。
「管理するということ」の本質から理解してください。
社内の申請書とかで、上司がろくに見もせず流れ作業で承認したとして、不備があったら責められるのは申請者ではなく上司です。
社員が会社に大損害を与えたとしても社会的に責任を取るのは社長です。
OSSを使った犯罪行為はないわけではないですけど、それは「そのOSSを使ってそういうものを作った」だけであって、OSS本体に犯罪行為ができる機能があったわけではないです。
包丁で殺人したら殺人者が逮捕されますが作った会社はメーカー名すら出ません。それは間違った使い方をしているから。でも、その包丁自体に不備があれば当然、包丁を作ってる会社が責められます。
今想定されている事態はOSS自体に不備が混入している状態です。しかも「管理者」「提供者」が「リクエストに対して承認している」。
世に出るものは常に攻撃の危機に晒されています。OSSへのプルリクエストは「自分の手を汚すことなく」攻撃を広げられる常套手段ですね。これがOSSに特化した問題。
「管理しているという自覚がない」
これが本質としての問題。
おっしゃられるように確かに管理してる自覚が足りてなかったようです
で、結局「事後」なんですかね。
まあ、管理者ならマージ前に戻すのは簡単でしょうし、マージの履歴を削除とかまでやってしまったほうが良いですね。
管理者って言う名前が良くないんだろうから、質問者の働く環境では責任者に名称変更しては?
検討してみます
0
まったくそのとおりです。
それをどうにかするためには、悪意のコードが入ってることを知らずに承認、ってことはしないようにすればいい、ってことになりますねー
投稿2021/01/22 02:51
編集2021/01/22 02:52
総合スコア88040
仮にレビュー漏れがあって悪意のあるコードが混入したら、それはプロジェクト管理者の責任ってことになりますよね
OSSって大変ですね
たいへんですねー
まあ、混入を見抜けないなら、そういうことはやめておこうって話となります
OSSかどうかの問題じゃないでしょうに。
0
極部分的にですが、以下のみ回答します。
プロジェクトの管理者は、最悪逮捕・損害賠償される可能性があるという認識で合ってますか?
ライセンス次第ですが、一般的な OSS ライセンスには免責事項が記されています。
まぁ、免責よりも法律が優先されるので、ケースバイケースではありますが。
投稿2021/01/22 03:13
退会済みユーザー
総合スコア0
そうなんですね。
回答ありがとうございます。
あなたの回答
tips
プレビュー
