Når bedt om kildekode, ber MediaTek om penger. De krever bokstavelig talt en lisensavgift til enhetsprodusenter for Linux-kjernens kildekode.
Det er en trist tilstand når en produsent stenger GPL-beskyttet kildekode. Det er enda tristere når de leverer kompilert fastvare med flere strenge sikkerheter sårbarheter. Det er tristere selv når de krever en lisensavgift. Dette skjer akkurat nå med MediaTek (MTK), og det er deres standard operasjonsprosedyre.
Det er en grunn til at du ikke ser mange MTK-enheter i USA og andre regioner med strengere lisenshåndhevelse. De er en rettssak som venter på å skje. MTK respekterer ikke bare brukerne deres, men hver enkelt Linux-kjerneutvikler. De gjør det i form av en policy som krever en betalt "kildekodelisens", som sannsynligvis er den største mengde diaré denne skribenten noen gang har hørt om. Du skjønner, Linux-kjernens kildekode er lisensiert under GPLv2, som absolutt krever at du overholder vilkårene som inkluderer kildekodeutgivelse. Unnlatelse av å overholde vilkårene forhindrer deg i å distribuere Linux-kjernen i det hele tatt. La oss ta en titt på noen utdrag:
3. b) Følg med et skriftlig tilbud, gyldig i minst tre år, om å gi en tredjepart, for en kostnad som ikke er mer enn kostnadene for fysisk å utføre kildedistribusjon, en fullstendig maskinlesbar kopi av den tilsvarende kildekoden, som skal distribueres i henhold til vilkårene i seksjonene 1 og 2 ovenfor på et medium som vanligvis brukes for programvare utveksling; ...
4. Du kan ikke kopiere, modifisere, underlisensiere eller distribuere programmet, med mindre det er uttrykkelig gitt under denne lisensen. ...
5. Du er ikke pålagt å godta denne lisensen, siden du ikke har signert den. Ingenting annet gir deg imidlertid tillatelse til å endre eller distribuere programmet eller dets avledede verk...
Som utviklere har vi muligheten til å ta kode, kompilere den på nytt, legge til funksjoner og fikse produsentenes sikkerhetsinkompetanse. Noen av MTKs enheter er lastet med ødelagte funksjoner som Bluetooth PAN-buffere, og det er dusinvis av andre eksempler. MTKs retningslinjer er i direkte strid med alle tre av punktene ovenfor, og det er nedslående når du innse at de tror de gir en tjeneste til enhver kunde i form av låst og sårbar brikkesett. Realiteten i situasjonen er at MTK skylder en kopi av den fullstendige, byggbare kildekoden til hver person som kjøper en enhet med Linux-kjernen, og forpliktende vil bare hjelpe dem med å fikse deres ødelagt kilde.
Når kilden er tilgjengelig, blir problemer identifisert, feilsøkt og rettet. De som er sikkerhetsbevisste kan få et hopp på å lappe enhetene sine, og de som ikke er det kan ganske enkelt vente på at oppdateringen blir sendt til dem. Når kilden ikke er tilgjengelig, kan sikkerhetsproblemer bare utnyttes, og patcher kommer aldri oppstrøms.