GPL 検出ツールとプロプライエタリソフトウェア

licence

softwareengineering

opensource

先日、「【レポート】GPLが検出されたら製品出荷は中止! バンダイナムコのOSSリスク管理」というバンナムの事例を読んだときに、パッケージ売りという商売をしているとオープンソースに対するとらえ方が随分違うのだなと思うのと同時に、ちょっとした違和感が残っていました。それに使われているツールが下記のエントリで実情として品のない売り方をされているという話を見つけたのでメモ。

漢(オトコ)のコンピュータ道: "オープンソース"の名を冠したプロプライエタリな人向けのセミナーに参加した件

Palamidaとはひとことで言うと「GPLソースコード検出プログラム」である。この世に存在するあらゆるオープンソースソフトウェアのソースコードをインデックス化し、任意のソースコードが「GPLのソースコードからコピペしたものでないかどうか」ということを調べるのである。インデックスのサイズは展開すると合計40TBにもなるらしく、ユーザーは圧縮したものをインストールして利用する。圧縮したものでも100GB程度のサイズになるらしい。検索アルゴリズムはMassive Multiple Pattern Searchというもので、特許出願済みだそうだ。

原理的なところが気になりますが、CCFinderのようなソースコード静的解析によるコードクローン検出ツールのようなものと考えればいいのでしょうか。前出のバンナムの事例では「わずか数文字単位の流用や改変でも検出できる」という検出能力で、「検出精度をギリギリまで上げても問題ない」という運用になっているらしいのですが、通常この手のツールは検出精度を上げるととても使いものにならないはずですが、このツールには何か特別な仕掛けがあったりするのでしょうか。ちなみに意図的な盗用をする人にこのツールはどの程度役に立つのかというのも気になります。そういえばマイコミはPalamidaをずいぶんプッシュして^*1ますね。

確かに現状のGPLはソフトウェアを使ってサービスする人には優しいけど、ソフトウェア自身をアセットとして考えて、それを切り売りする人たちには厳しすぎるのかもしれません。僕は学術であったり、商用開発をやっていたときにも基本的にウェブアプリしか書いたことがないので、GPLであることを特に意識したことはありませんでしたが、AGPLとかが増えてきたりすると考え方が変わってきたりするのかなぁ。