Har du betalat din Linux Kernel Source-licensavgift?

När bad om källkod, MediaTek ber om pengar. De tar bokstavligen ut en licensavgift för enhetstillverkare för Linux-kärnans källkod.

Det är tråkigt när en tillverkare stänger av GPL-skyddad källkod. Det är ännu tråkigare när de tillhandahåller kompilerad firmware med flera allvarliga säkerheter sårbarheter. Det är tråkigare även när de kräver en licensavgift. Detta pågår just nu med MediaTek (MTK), och det är deras standardprocedur.

Det finns en anledning till att du inte ser många MTK-enheter i USA och andra regioner med striktare licenstillämpning. De är en rättegång som väntar på att hända. MTK respekterar inte bara sina användare utan varje enskild Linux-kärnautvecklare. De gör det i form av en policy som kräver en betald "källkodslicens", vilket sannolikt är den största mängden diarré som denna författare någonsin hört talas om. Du förstår, Linux Kernel-källkoden är licensierad under GPLv2, vilket absolut kräver att du följer villkoren som inkluderar källkodsutgivning. Om du inte följer villkoren hindrar du dig från att distribuera Linux-kärnan överhuvudtaget. Låt oss ta en titt på några utdrag:

3. b) åtfölja det med ett skriftligt erbjudande, giltigt i minst tre år, om att ge tredje part, mot en avgift som inte överstiger din kostnad för att fysiskt utföra källdistribution, en fullständig maskinläsbar kopia av motsvarande källkod, som ska distribueras enligt villkoren i avsnitten 1 och 2 ovan på ett medium som vanligtvis används för programvara utbyte; ...

4. Du får inte kopiera, modifiera, underlicensiera eller distribuera Programmet förutom vad som uttryckligen anges i denna Licens. ...

5. Du behöver inte acceptera denna licens, eftersom du inte har undertecknat den. Inget annat ger dig dock tillåtelse att modifiera eller distribuera programmet eller dess härledda verk...

Som utvecklare har vi möjlighet att ta kod, kompilera om den, lägga till funktioner och åtgärda tillverkarnas säkerhetsinkompetens. Vissa av MTK: s enheter är laddade med trasiga funktioner som Bluetooth PAN-buffertar, och det finns dussintals andra exempel. MTK: s policy strider direkt mot alla tre av ovanstående punkter, och det är nedslående när du inser att de tror att de tillhandahåller en tjänst till alla kunder i form av låsta och sårbara chipsets. Verkligheten i situationen är att MTK är skyldig en kopia av den fullständiga, byggbara källkoden till var och en en person som köper en enhet med Linux-kärnan, och förpliktelse skulle bara hjälpa dem att fixa sina trasig källa.

När källan är tillgänglig identifieras, felsöks och korrigeras problem. De som är säkerhetsmedvetna kan få ett hopp om att patcha sina enheter, och de som inte är det kan helt enkelt vänta på att patchen ska skickas till dem. När källan inte är tillgänglig kan säkerhetsproblem bara utnyttjas och patchar når aldrig uppströms.