ポケットを空にして。

■ バグレポとか

piuparts の false positive に引っかかってたのでレポート。
tdiaryが新しいバージョンが出ていたので念のためレポート。
gnome-do-plugins で twitter が使えなくなっている？一応手元ではまだ動いている。

■ webrick 話の続き→担当者編

とりあえず、opensource@apple.com にメールを送ってみたが、1週間ほどたったが反応がないので悲しい。

それとは別にMacRubyというページを見つけたので、そちらのソースを見ると…あれ、subversionのtrunkでも直ってないな、というのを見つける。コンタクトアドレスの一つである twitter のアカウントに DM してみたところ、別アカウントから直したよーと返事がきた。ちょうどいいや、と思いLaurent Sansonettiさんに色々質問。

ということなので、今回の件については以下のようなまとめ。

• 連絡ミスでした
• パッチはrubyライセンスです
• 何かあったら直接連絡 (twitter で @lzr か lsansonetti@apple.com) 宛

■ そろそろ、うぶまがの季節です

ということで、Ubuntu Magazine も Vol.5 が出るようです。
いいなぁ、ステッカー。そうそう、Canonical の CEO さんは非常にスマートでした。ああいう回転の脳みそが欲しいですね。

■ お返事がないので

今度は別方面からいってみる。

追記：MacRubyも直った。というか連携とれていなかったのか…

■ donation するとしても

あんまり多くは出せない。しかし、小額過ぎると手数料の方が嵩んでしまって意味が薄いように思う。どうするのが一番よいのだろうね。

■ 分からなければとりあえず聞いてみるのはどうか

と思ったので、遅ればせながら opensource@apple.com に質問メールを送ってみる。返信あるといいなぁ

■ Ruby の webrick 脆弱性の話。

いや、正直言ってみんながこんなに食いつく話だとは思わなかった。脆弱性があるにはあったが、実際攻略されるようなシチュエーションがそんなには無いだろう、という風に思っていたので（実運用環境では利用しないだろうなぁ、という点から）。

• そもそも Apple がパッチをサクッと upstream に還元しておけば良かったのに、というのは衆目の一致するところではある。まったくもー あっぷるって奴は！（よつば風）
  ソースがどこから取れるかも最初は分からず、私なんぞはすらどのコメントで知る始末である。http://opensource.apple.com/ らしいですよ。ところで窓口は結局どこなんだろう、opensource@apple.com かな？
• で、件のパッチに著作権が発生するか否か、といわれるとしないと思われる。全体のコードの割合から検討するとかなり少なく(1liner)、しかも部分修正で他の人から見てもそれ以外の修正方法はあまりないという時点で著作物とは見なせないと考える。
• また、Ruby に不適合なライセンスであるとしたら、それを組み込んで Apple が配布した Ruby がライセンス違反になるので、Ruby に適合したライセンスであると見なすのが適当であろう。

まぁ、しかし自分の問いかけの仕方も迂闊ではあった。CVE 発行済み、かつベンダがリリースしている（＆Red Hat の Bugzilla でパッチが見れる状態だった）ので、security の窓口よりも -dev な方を選んでしまった。ここはミスだったなぁ…。

何にせよリリース準備で大変だったろうにご対応いただいた yugui さんらやパッチを書いていただいた西尾さんには感謝感謝である。

西尾さんの指摘について、さらに追記。

• 一般論でどうこう、じゃなくて、Ruby を配布するのに何のライセンスで配布しているのか、という事が肝要だと思うのだけど。GPL か ruby ライセンスのどちらかに適合していないと Apple が配布できないでしょ、と（あ、でもどちらかになっちゃうか。悩ましいな）
  だから「たとえばAさんが自分のプログラムをパブリックドメインやNYSLで公開していたとする。Bさんはそれを修正したコードを自分の好きなライセンスで公開できる。AさんがBさんの行った修正を自分のソフトに取り込んでパブリックドメインを維持したら、これは明らかにライセンス違反だ。」というのは全く筋が違う話。パブリックドメイン相当にした場合とGPLや他の一般的ライセンスで公開しているものを利用するのを混同してはいけない。
• 法的な事になったときに手間がかかるので避けるべきだという論は理解できる。「私はこう思うな」というのは別にそういう考えでいる、というだけの話。

もう一点だけ確認で。「またCさんがLGPLでライブラリを公開して、Dさんがそれを修正してGPLで公開したとする。Cさんがその修正コードを取り込んだら、やっぱこれもGPLにしないとライセンス違反だ。」って「CさんがLGPLでライブラリを公開して、Dさんがそれを修正してGPLで公開」って、"そのライブラリ自体のライセンスを変更しての公開"は間違いなくできないでしょ。これができたらあらゆるソフトでパッチちょっと書いただけでライセンス変更できちゃうことになる。「パッチ自体が不適合なライセンス条件をもって公開したもの」といいたい話なのかな。うーん、それも可能「かもしれないけど」というぐらいの意見。

■ 9月か10月にミラーを一日止める予定

協力先の会社さんが移転されるので。忘れないようにメモだけ。

■ でびあんぶれら到着

げっとしました＞注文者各位（個別連絡はまた後日でお願いします…）
関税かかったり船便だったりして。8月第二週ぐらいで引き渡し開始できそうです。

引き渡し後、できれば皆さん写真の一枚でも取って作者に送ってあげてくれるとうれしい限り。部屋が片付いてないので自分の分は後日。

■ bug squashing

一気に15個ほどcloseに。まぁ、unreproducibleなので閉じるだけという簡単なお仕事。

■ バグレポを確認して閉じるだけの簡単なお仕事

• まず、pbuilder 環境を用意します。aptitude install pbuilder; pbuilder create; pbuilder update しておけば OK
• 閉じるバグを含んでいるバグレポートの一覧を選んでおきます。ここは Lucas さんのバグレポートにします。
• そうそう、最近の Lucas さんのリビルドログも参考に用意しておきましょう（その1、その2）
• 適当なパッケージを選んで、リビルドログを参照します。OKになっていたら「あれ、これって今はビルドできるんじゃ？」ということに気づきます。直近2つのログが共にビルドできているのをみつけたら、そのパッケージに狙いをつけましょう
• apt-get source "package name"; pbuilder --build "package name"_"ver".dsc でビルドできるかをチェックします
• ビルドできたら、コマンドメールを送って unreproducible タグをつけた上で閉じます。宛先に "bugnum"-done@bugs.debian.org と control@bugs.debian.org を指定して、本文は以下のように。

  tag "bugnum" unreproducible
  thanks

■ でびあんぶれら進捗

• 申込を締めきりました。
• 合計20本超となりました。ありがとうございます。
• これから銀行振込とか諸々となります。7/17 に間に合うかどうかは微妙です ;)