コンテンツにスキップ

アップストリームがSRPM公開を停止 まとめ

2023/6/30: AlmaLinux / ブログアップ / 私たちの価値は「私たちの価値」

Our Value Is Our Values

セキュリティアップデートの状況はどうなっている?

Red Hatのポリシー変更以前は、RHELが何らかのパッケージのアップデート(セキュリティやバグフィックス)を公開すると、対応するソースコードをリポジトリに公開していました。それからAlmaLinuxは更新を私たち自身のビルドとテストシステムに統合し、新しいRPMを作成し、私たちのリポジトリに公開しました。

その連鎖の最初の部分は、現在途切れています。Red Hatの顧客アカウントのみが Red Hatソフトウェアにアクセスでき、Red Hatソフトウェアを再配布することは Red Hatサブスクリプション契約に違反します。

セキュリティとアップデートの観点からは、これは私たちの仕事を難しくしていますが、決して不可能ではありません。OpenSSL を例にしてみましょう。OpenSSL は重要なパッケージであり、(他のパッケージと同様に)時折セキュリティアップデートが発行されます。以下のタイムラインは参考になるかもしれませんし、私たちがユーザーにセキュリティ・アップデートを提供できることを示しています。

  • RHEL 9.2は、5月10日にOpenSSL 3.0.7を出荷
  • AlmaLinux 9.2も、5月10日にOpenSSL 3.0.7を出荷
  • Upstream OpenSSLは、5月30日にCVE-2023-2650を公開し、OpenSSL 3.0.7で修正が利用可能に
  • RHEL 9.2は、6月21日にパッチを当てたOpenSSL 3.0.7を公開
  • AlmaLinuxは、6月23日にOpenSSL 3.0.7を公開

私たちはアップデートを構築するいくつかの方法を評価してきました。以前の投稿「AlmaLinux に対する RHEL の変更の影響」で概説したように、私たちはアップデートを作成できる限り迅速に提供し続けます。いくつかのソースからデータやパッチを収集し、それらを比較し、テストし、そしてリリースのためにビルドする必要があるため、プロセスはより手間がかかります。しかし、安心してください、アップデートはこれまでと同じように流れ続けます。

私たちの価値は私たちの価値 ダウンストリームのリビルドは適切に実行されれば、非常に大きな価値を提供し、アップストリームプロジェクトにとって非常に大きな資産となります。AlmaLinuxは、より広範なオープンソースコミュニティのため、私たちのアップストリームのため、そしてEnterprise Linuxのエコシステム全体のために、可能な限り最高の結果を提供することを目指しています。

広範なオープンソースコミュニティにおける共同所有と透明性の利益のために、私たちは非営利団体を設立し、企業的な動機を排除しています。私たちは銀行取引明細書を公開しています。私たちは、CentOSコミュニティから来た誰もが安心して貢献できるように、基本的なルールが存在することを確認するために多大な時間と労力を費やしています。それを否定する人もいるかもしれませんが、AlmaLinuxが始まった当時、コミュニティに蔓延していた怒りは、ポジティブな何かで埋める必要のある空白があることを明らかにしました。

Enterprise Linux のエコシステムについては、AlmaLinux 内で CentOS の SIG を使用できるようにすることで断片化を防ぎました。この目的のために、私たちは RHEL のビルドルートを CentOS のビルドシステムに組み込むことを提唱しました。これにより、作業と労力が一元化され、コードが上流に流れるようになりました。私たちは、プラットフォームのサポートを新しいアーキテクチャであるRaspberry Piに拡大し、ELRepoプロジェクトがaarch64ハードウェアのスポンサーシップを確保し、そのためにビルドするのを支援しました。現在、80,000近いaarch64システムでAlmaLinuxが動いています。また、Fedora FlockやNest、CentOS ConnectやDojos、さらにはopenSUSE Confにも金銭的な貢献や参加をしました。製品やディストリビューションの魅力の一つは、それを取り巻くコミュニティであり、私たちはRHELとCentOS Streamを取り巻くコミュニティを豊かにしてきました。

また、アップストリームコミュニティも充実させてきました。AlmaLinuxコミュニティのメンバーは、RPM、AWX、VirtualBoxなどのプロジェクトにPRを提出しました。私たちのコミュニティはGlusterFSに50以上のPRを送り、openQAも拡張しました。Red Hatの従業員は、FedoraのテストをELNとRHEL上で実行できるようにしてくれたことに感謝しました。ある AlmaLinux の貢献者は、私たちのコミュニティによってとても熱くなり、今では、certbot、brotli、iperf3、imapsync のような広く使われているものや無数の Python ライブラリを含む 600 以上の Fedora と Extra Packages for Enterprise Linux (EPEL) パッケージの保守を手伝っています。EPEL は Red Hat と RHEL の両ユーザーにとって非常に重要です。

AlmaLinuxは、RHELの下流として、そしてコミュニティとして、Red Hatとオープンソースコミュニティ全体に対して、私たちの価値を示してきました。私たちは、オープンソースが設立され、コミュニティが期待する原則-信頼、透明性、正直さ、誠実さ、相互尊重-に強くコミットしています。つまり、私たちの価値は私たちの価値なのです。

2023/6/29: Rocky Linux / ニュースアップ /

Keeping Open Source Open

  • Red Hatは最近、"RHELのリビルドには価値を見出さない"という見解を示している。私たちは、この見解は偏狭なものだと考えているが、Red Hatは強い姿勢で、RHELのソースへのアクセスを有料顧客だけに制限している。これらのソースは主に、Red Hatが所有していないアップストリーム・オープンソース・プロジェクト・パッケージで構成されている。
  • 以前は、Rocky Linuxのソースコードは、CentOSのGitリポジトリから推奨されたものだけを入手していた。しかし、このリポジトリはもはやRHELに対応するすべてのバージョンをホストしていない。そのため、現在はCentOS Stream、原始的なアップストリームパッケージ、RHEL SRPMなど、複数のソースからソースコードを集める必要がある。
  • さらに、Red Hatのサービス利用規約(TOS)とエンドユーザライセンス契約(EULA)は、正当な顧客がGPLによって保証された権利を行使することを妨げようとする条件を課している。コミュニティではこれがGPLに違反するかどうか議論されている、私たちはこのような契約はオープンソースの精神と目的に違反すると固く信じている。その結果、わたしたちはそのような協定に同意することを拒否する。つまり、わたしたちは、わたしたちの原則を遵守し、わたしたちの権利を支持するルートを通じてSRPMを入手しなければならない。
  • このステータスの更新が遅れたのは、コミュニティのニーズと技術的な要件、そして Red Hatが生み出したオープンソースとコミュニティの原則に対する挑戦のバランスを取りたいという私たちの願いによるものである。
  • 幸いなことに、ソースコードを入手するために利用可能な別の方法がある。1つは、RHELをベースとし、複数のオンライン・ソース(Docker Hubを含む)から入手可能なUBIコンテナ・イメージを利用することだ。UBIイメージを使えば、Red Hatのソースを確実かつ不自由なく入手することができる。OCI(Open Container Initiative)コンテナを使って検証したところ、期待通りに動作した。
  • もう1つの方法は、有料パブリック・クラウド・インスタンスだ。これを使えば、誰でもクラウド上でRHELイメージをスピンアップすることができ、すべてのパッケージとエラッタのソースコードを入手することができる。CIパイプラインを通じて、クラウド・イメージをスピンアップしてDNF経由でソースを取得し、Gitリポジトリに自動的にポストすることができるため、私たちにとって最もスケールしやすい方法である。
  • これらの方法が可能なのは、GPLの力があるからだ。誰もGPLソフトウェアの再配布を妨げることはできない。これらの方法はどちらも、オープンソースソフトウェアへのわたしたちのコミットメントを妥協したり、わたしたちの権利を妨げるTOSやEULAの制限に同意したりすることなく、RHELのバイナリやSRPMを合法的に入手することを可能にする。私たちの法律顧問は、私たちが受け取ったバイナリのソースを入手する権利があることを再確認し、私たちが当初の意図に沿ってRocky Linuxを進歩させ続けることができることを保証してくれた。
  • 私たちは継続的に他の選択肢を模索しているが、前述のアプローチは変更される可能性がある。しかし、オープンソースと Enterprise Linux コミュニティへの揺るぎない献身とコミットメントは揺るがない。

2023/6/26: Red Hat / ブログアップ / Red Hatのオープンソースへのコミットメント:git.centos.orgの変更への対応

Red Hat’s commitment to open source: A response to the git.centos.org changes

この1週間、この仕事を根底から大切にしている勤勉なRed Hat社員たちに対して、多くの人々が思いやりのない、事実と異なることを言っているのを目にした。

現在Red Hatについて言われていることとは裏腹に、私たちは顧客以外の人たちにも、私たちの成果に容易にアクセスできるようにしている。Red Hatはオープンソースの開発モデルを採用しており、今後も採用する予定だ。バグを見つけたり機能を書いたりしたら、コードをアップストリームに貢献する。これは、Red Hatや当社の顧客だけでなく、コミュニティの全員に利益をもたらす。

私たちはアップストリームパッケージを単純にリビルドしているわけではない。Red Hatでは、何千人もの人々が、新機能を有効にするためのコードを書くこと、バグを修正すること、さまざまなパッケージを統合すること、そしてその作業を長期にわたってサポートすることに時間を費やしている。

これは、5~10年以上前のコードにパッチをバックポートするために費やす時間や深夜のことである。私たちは常に3~4つの主要なリリース・ストリームをサポートし、すべてのリリースにパッチやバックポートを適用している。さらに、RHELの問題に対する修正を開発する際には、RHELだけに適用するのではなく、まず上流のFedoraやCentOS Stream、あるいはカーネル・プロジェクト自体に適用し、それからバックポートしている。オペレーティング・システムを10年間維持し、サポートすることは至難の業である。

私たちは常に、私たちのコードをアップストリームに送り、私たちの製品が使用するオープンソースライセンス(GPLを含む)を遵守する。私たちのコードに適用される様々なオープンソースライセンスを遵守すると言ったのは、本心だ。私は、オープンソース・ソフトウェアと特にGPLについて、多くの人々が非常に多くのことを誤解していることにショックを受け、失望した。オープンソースのライセンスや権利を含む詳細は重要であり、これらはRed Hatが形成するだけでなく、維持し進化させる手助けをしてきたものである。

最近のダウンストリームソースに関する我々の決定に対する怒りの多くは、RHELに費やされた時間、労力、リソースにお金を払いたくない人たちか、自分たちの利益のためにRHELをリパッケージしたい人たちによるものだと感じている。RHELのコードに対するこの要求は、軽率なものだ。

オープンソースの価値を信じる情熱的な貢献者たちが、長い時間と夜を費やして行っている作業に対して、私たちは報酬を支払わなければならない。このような人々が作り出したコードを単にリパッケージし、付加価値を付けずにそのまま再販することは、このオープンソースソフトウェアの生産を持続不可能なものにしてしまう。これには、重要なバックポート作業や、上流で開発中の将来の機能や技術も含まれる。もしその作業が持続不可能になれば、それは止まってしまうだろうし、それは誰にとっても良いことではない。

例えば、新しいアーキテクチャやコンパイルフラグを追加するようなディストリビューションとは異なる、リビルダーについて特に言及したい(Linuxの機能を模倣するのではなく、拡張することを全面的にサポートする)。

少し前まで、Red HatはCentOSのようなリビルダーによる作業に価値を見出していた時期があった。私たちはSRPMをgit.centos.orgにプッシュし、簡単にリビルドできるようにした。最近では、ダウンストリームのリビルダーを持つことに価値はないと判断している。

このような無料のリビルドは、RHELのエキスパートを輩出し、売上につなげるためのものに過ぎないという一般的に受け入れられている立場は、現実ではない。私たちがそのような世界に住んでいればいいのだが、実際にはそうではない。その代わりに、RHELの安定性、ライフサイクル、ハードウェアのエコシステムを、RHELを作成するメンテナ、エンジニア、ライター、その他多くの役割を実際にサポートすることなく求めている、大企業や非常に大規模なIT組織に所属するユーザーのグループを発見した。このようなユーザーはまた、他の多くのLinuxディストリビューションのうちの1つを使わないと決めている。

健全なオープンソースのエコシステムでは、競争と革新は手を取り合って行われる。Red Hat、SUSE、Canonical、AWS、Microsoftはすべて、関連するブランディングとエコシステム開発努力を伴うLinuxディストリビューションを作成している。これらのディストリビューションはすべてLinuxのソースコードを利用し、貢献しているが、他のディストリビューションと「完全な互換性がある」と主張しているものはない。

結局のところ、私たちはRHELのリビルドに価値を見いだせないし、リビルドする人たちのために物事を簡単にする義務もない。CentOS Streamについては、非常に大きな混乱がある。これは、私たちがそれ以上のことを行ってきた長年の伝統に対する変更であり、このような変更が混乱を引き起こす可能性があることは認める。その混乱は、私たちがクローズドソースになったという非難や、GPL違反の疑いとして現れた。CentOS Streamには、バイナリを提供するCentOS Streamと、ソースリポジトリのCentOS Streamがある。CentOS Streamのgitlabソースは、私たちがRHELのリリースをビルドする場所であり、誰もが見ることができるオープンな場所だ。RHELを「クローズド・ソース」と呼ぶのは、断じて事実ではないし、不正確だ。CentOS StreamはRHELよりも速く動くので、HEADにはないかもしれないが、コードはそこにある。もし見つからないのであれば、それはバグだ。

最後に、現在コードをオープンにしているか、オープンソースモデルへの移行を検討しているかにかかわらず、すべてのオープンソース企業に対して申し上げたい。どのような尺度から見ても、Red Hatは「成功」しており、多くのオープンソース企業が私たちのように成功することを願っている。ダウンストリームのリビルドがあなたにとって価値があるかどうかは、あなた自身で決めることができる。

単にコードを再構築するだけで、付加価値を加えたり、何らかの変更を加えたりすることは、あらゆるオープンソース企業にとって現実的な脅威となる。これはオープンソースに対する本当の脅威であり、オープンソースを趣味やハッカーだけの活動に戻す可能性を持っている。

私たちはそれを望んでいないし、私たちのコミュニティのメンバー、顧客、パートナーがそれを望んでいないことも知っている。イノベーションは上流で起こる。他者の肩の上に築かれるものこそ、オープンソースなのだ。イノベーションを推進し、互いにサポートし合い、前進し続けよう。

2023/6/24: Rocky Linux / ニュースアップ / Rocky Linuxは生き続ける

Brave New World: The Path Forward for Rocky Linux

  • 先週、私たちは約 10 のアップデートが遅れていることを確認した。水曜日の発表で、これらのアップデートの欠落が単純な見落としではなかったことが確認された。そのため、私たちは当面の懸念事項を解決すると同時に、中長期的な対応策を策定してきた。
  • チームメンバーの努力の結果、Rocky Linux 8と9のアップデートが完了、テストアップグレードも問題なく完了した。アップデートは通常通りdnf -y updateで行われる。
  • さらに、リリースされたアップデートを提供し続けるためのプロセスを開発した。幸運なことに、追加インポートを管理し、自動化するためのPeridotビルドシステムがすでに導入されている。
  • すべてのSRPMとそのハッシュを公開する透明性のある台帳も作成中だ。この台帳には、使用されたSRPM、適用されたパッチ、該当するチェックサムなどが表示される。
  • これは以前のプロセスよりも手作業が多くなっているが、ライセンス契約を遵守している。より効率的なソリューションと自動化を追求し続ける中で、このプロセスは進化する可能性がある。とはいえ、私たちのユーザーが混乱しないよう、私たちは引き続き全力を尽す。

2023/6/23: MIRACLE LINUX / サイバートラスト社の発表

Red Hat 社の変更による当社事業への影響について

Red Hat社のソース提供変更によるMIRACLE LINUXの影響はない旨発表

2023/6/22: Rocky Linux / ニュースアップ / Red Hatの発表に対して

Rocky Linux Expresses Confidence Despite Red Hat's Announcement

  • Red Hatの発表によると、RHELのソースはgit.centos.orgからアクセスできなくなる。この決定により、Rocky Linuxのビルドに使用するオートメーションが変更されるが、すでに短期的な緩和策を作成し、長期的な戦略を策定している。Rocky Linuxのユーザー、協力者、パートナーに混乱や変化はない。
  • Rocky Linuxコミュニティは、オープンソースにおけるコラボレーションの価値を強く信じている。Rocky Linuxのコントリビューターは、ELエコシステムの責任ある一員として、CentOS StreamやFedora、その他のオープンソースプロジェクトに定期的にアップストリームでコントリビュートしている。
  • Rocky Linuxは、コミュニティベースで、アクセスしやすく、透明性の高いELオペレーティングシステムを提供するという使命に専心し続ける。プロジェクトは、Rocky Linux8と9のサポートの寿命を全うし、オプションが残っている限り、将来のRHEL互換バージョンを作り続けるという約束を守ることを誓う。これがオープンソースのやり方である。

2023/6/22: AlmaLinux / ブログアップ /ソース非公開による影響について

AlmaLinux Blog: Impact of RHEL changes to AlmaLinux

  • ビルドSIGメンバーの一人が、Red Hat 8のアップデートがgit.centos.orgで公開されていないことに気づいた。
  • バグだと思い適切にレポートを作成したが、解決しないまま数日が経過したため、私たちは何かが起きていることを察知した。
  • この変更は、RHELクローンのビルダーとして、ソフトウェアソースに含まれるライセンスに従うことに加え、Red Hatのインターフェースの周りにあるライセンスと契約に従う責任があることを意味する。
  • Red Hatのユーザーインターフェースの契約では、カスタマーポータルを通じて取得したソースを再公開することは、これらの契約に違反することになる。
  • この変化に対する短期的、長期的な解決策については、今後数週間かけて話し合っていくことになる。私たちは今日、問題の深さを確実に理解するために深く潜り、潜在的な選択肢について議論することに多くの時間を費やした。
  • 短期的には、RHELエコシステムの他のメンバーと協力して、私たちがこれまで知られてきたようなスピードと安定性でセキュリティ・アップデートを提供し続けることを確実にするつもりである。
  • 長期的には、私たちは同じパートナーや私たちのコミュニティと協力して、エンタープライズLinuxエコシステムの一部としてAlmaLinuxのための最善の道を決定する。

FAQ

セキュリティアップデートはまだ入手できるのか?

はい。当面はCentOS StreamのアップデートとOracle Linuxのアップデートを利用して、セキュリティパッチのリリースを継続する予定。これらのアップデートは、Red Hatのライセンスに違反することなく、RHELと1:1の互換性を確保するために慎重に管理され、他のすべてのリリースと同様に審査とテストが行われる。

現時点でAlmaLinuxの次のステップについての会話には誰が関わっているのか?

現在までのところ、理事会、会長、すべてのSIGリーダー、そしてコミュニティの他の多くのメンバーが会話に参加している。

CentOS Streamのソースだけを使用することができるのか?

私たちはダウンストリームのRHELクローンであり続けることにコミットしており、CentOS Streamソースを使用するとRHELのアップストリームになってしまう。CentOS StreamソースはRHELのアップストリームだが、RHELパッケージに含まれるすべてのパッチやアップデートが含まれているとは限らない。

Red Hatはダウンストリーム・クローンを潰そうとしているのか?

Red Hatの意図について語ることはできないし、彼らが公言したことを指摘することしかできない。私たちはAlmaLinux OSの寿命を通してRed Hatと協力関係を築いてきた。

2023/6/21: Red Hat / CentOS StreamのリポジトリがRHEL関連のソースコード公開のための唯一のリポジトリとなることを発表

Red Hat Blog: Furthering the evolution of CentOS Stream

  • CentOS Streamコミュニティが成長し、我々はエンタープライズLinuxのイノベーションのバックボーンとしてCentOS Streamに焦点を絞っていきたいと考えている。Red Hatは、CentOS Streamへの投資を継続し、CentOS Streamへのコミットメントを強化している。CentOS Streamは今後、RHEL 関連のソースコード公開のための唯一のリポジトリとなる。

  • CentOS Stream以前は、Red HatはRHELのパブリックソースをgit.centos.orgにプッシュしていた。CentOS ProjectがCentOS Streamを中心に移行したとき、CentOS LinuxがRHELのダウンストリームでビルドされなくなってもリポジトリを維持してきたが、現在では冗長な別個のリポジトリを維持することは非効率的となっている。

  • Red Hatの顧客とパートナーは、サブスクリプション契約に従って、カスタマーポータルを通じてRHELのソースにアクセスできる。