อุปกรณ์ควบคุมปั๊มอินซูลินของฉันใช้ลินุกซ์เคอร์เนล แต่ละเมิด GPL

ความเห็นบน Hacker News

• ฉันพยายามขอ ซอร์สโค้ดเคอร์เนล ที่ Insulet เผยแพร่ภายใต้ GPLv2
  แต่การพูดแค่ว่า “มี GPL อยู่ ก็เลยต้องให้ซอร์ส” เป็นความเข้าใจที่คลาดเคลื่อน
  ในทางปฏิบัติ บริษัทต้องส่ง ‘ข้อเสนอเป็นลายลักษณ์อักษร (written offer)’ ให้ผู้ใช้ก่อน และผู้ใช้จึงจะอ้างอิงข้อเสนอนั้นเพื่อขอซอร์สโค้ดได้
  ถ้าบริษัทส่งข้อเสนอมาแล้วแต่ไม่ทำตาม นั่นอาจเป็นการผิดสัญญา แต่ถ้าไม่ได้ส่งข้อเสนอมาตั้งแต่แรก ก็จะเป็นการละเมิด GPL (ฉันไม่ใช่ผู้เชี่ยวชาญด้านกฎหมาย)
  • นี่ยังเป็น ประเด็นที่กฎหมายยังไม่ได้วางบรรทัดฐานชัดเจน
    คดี Conservancy v Vizio กำลังถกกันว่าผู้บริโภคมีสิทธิ์บังคับใช้ GPL โดยตรงหรือไม่
  • อายุ 3 ปีของข้อเสนอเป็นลายลักษณ์อักษรเป็นเพียงหนึ่งในหลายวิธีในการแจกจ่าย
    ถ้าไม่มีข้อเสนอตั้งแต่แรก ก็ไม่ได้รับความคุ้มครองจากข้อกำหนดนั้น และต้องปฏิบัติตาม GPL ด้วยวิธีอื่น
  • สำหรับคำถามว่า “ข้อเสนอเป็นลายลักษณ์อักษรถือเป็นสัญญาที่ถูกละเมิดหรือไม่” ก็มีความเห็นว่าข้อเสนอเฉยๆ ไม่เหมือนสัญญา
  • ในสหรัฐฯ อาจตีความได้แบบนั้น แต่ ในเยอรมนี ผู้ใช้ปลายทางสามารถเรียกร้องซอร์สโค้ดและฟ้องร้องได้โดยตรง
  • ตัว GPL เองก็เป็นสัญญา ดังนั้นสิ่งที่ต้องแยกให้ชัดคือความต่างระหว่าง สัญญาระหว่างผู้ให้สิทธิ์–ผู้รับสิทธิ์ กับ ความสัมพันธ์ระหว่างผู้รับสิทธิ์–ผู้ใช้
• อยากแนะนำให้อ่านคอมเมนต์บนสุดที่เขียนโดยคนในบริษัทจริงๆ
  หลายแห่งมองการพัฒนาฮาร์ดแวร์เป็น cost center และมักจ้างคนนอกทำ จึงเป็นเรื่องปกติที่ท้ายที่สุดจะไม่มีคนเหลืออยู่มาจัดการคำขอ GPL
  ทีมซัพพอร์ตด่านหน้าไม่มีศักยภาพจะจัดการคำขอแบบนี้ และอีเมลก็มักถูกส่งต่อวนไปมาในองค์กรจนถูกลืม
  พอไปถึงฝ่ายกฎหมาย พวกเขาก็จะกดเครื่องคิดเลขดูว่า “นี่มีความเสี่ยงทางกฎหมายจริงไหม?” แล้วส่วนใหญ่ก็เลือกเมิน
  ตอนที่ฉันเคยทำงานในบริษัทที่มีประเด็น GPL เยอะ ฉันบังคับให้เก็บ GPL tarball ไว้ทุกรีลีส และฝึกอบรมทีมซัพพอร์ตด้วย
  70% ของคำขอมาจากความโกรธที่เกิดจากความเข้าใจผิดว่า “ทำไมไม่ให้ซอร์สทั้งหมด”
  ประสบการณ์แบบนี้ทำให้ฉันเข้าใจว่าทำไมทีมซัพพอร์ตถึงไม่อยากแตะคำขอ GPL
  • แต่ถ้า โค้ดที่ไม่ใช่ GPL ถูกลิงก์ (link) เข้ากับโค้ด GPL โดยตรง จริง ความไม่พอใจของผู้ใช้เหล่านั้นก็อาจสมเหตุสมผล
• ในกรณีแบบนี้ คำตอบที่ถูกต้องคือ ติดต่อผ่านทนายไปยังฝ่ายกฎหมาย
  วิศวกรหรือทีมซัพพอร์ตคงไม่ใช่คนที่จะตัดสินใจทางกฎหมายเพื่อส่งมอบทรัพย์สินของบริษัท
  ถ้า FSF เผยแพร่ เทมเพลตหนังสือเรียกร้อง ที่มีฐานทางกฎหมายและขั้นตอนการเรียกค่าเสียหาย ก็น่าจะช่วยได้มาก
  • แต่ก็มีคนโต้แย้งว่า “นั่นไม่ใช่ทรัพย์สินของบริษัท”
• ถ้าส่วนที่อยู่ภายใต้ GPL มีแค่ Linux kernel เพียงตัวเดียว ก็แทบจะไม่มีสิทธิ์พิเศษอะไรในการขอซอร์สโค้ด
  แค่ใช้เคอร์เนลไม่ได้ทำให้โปรแกรมใน userspace ติดภาระ GPL ไปด้วย
  เป็นไปได้มากว่านี่คือการรวมกันของเคอร์เนลที่แทบไม่ได้ปรับแต่งกับโปรแกรม userspace แบบโอเพนซอร์ส
  • ถ้าเป็นอย่างนั้น การจัดส่งซอร์สโค้ดก็ควร ทำได้ง่ายมาก
  • อีกอย่าง ไดรเวอร์โมดูลที่ใช้ GPL shim (เช่นไดรเวอร์ NVIDIA) ก็ไม่ถือว่าอยู่ภายใต้ GPL ดังนั้นฉันไม่เข้าใจว่าทำไมผู้เขียนถึงคิดว่านี่เป็นการละเมิด
• การถกเถียงเรื่อง การละเมิดไลเซนส์ แบบนี้ทำให้เครียดจริงๆ
  ถ้าคิดว่าละเมิด ก็แค่ยื่นฟ้องให้ศาลตัดสิน
  ถ้าเป็นอุปกรณ์การแพทย์ ก็น่าจะคุ้มค่าที่จะลองด้วยเงินระดับไม่กี่ร้อยดอลลาร์
  • แต่ OP อาจไม่ใช่ เจ้าของลิขสิทธิ์ ของ Linux kernel
  • อีกอย่าง คดีก็คงไม่จบด้วยเงินแค่ไม่กี่ร้อยดอลลาร์แน่
• ถ้าคุณคอมไพล์เคอร์เนลเอง การแค่บอกลิงก์ไปที่ คลัง Linux kernel อย่างเป็นทางการ อาจเพียงพอแล้ว
  • แต่ถ้าบริษัทคอมไพล์เองเพื่อวัตถุประสงค์เชิงพาณิชย์ ก็จะไม่เข้าเงื่อนไขทั้งสองข้อของ GPLv2 3(c) จึงใช้ข้อกำหนดนั้นไม่ได้
• กำลังพูดถึง Omnipod อยู่หรือเปล่า?
  พวกเขาก็มีการเรียกคืนสินค้าหลายครั้ง และ คุณภาพฮาร์ดแวร์กับซอฟต์แวร์ ของพวกเขาก็น่าเชื่อถือได้ยาก
  ขออภัยสำหรับคนที่เคยทำงานที่นั่น แต่หวังว่าตอนนี้คุณจะได้ทำงานในที่ที่ดีกว่า
• ในฐานะคนที่ไม่ได้ต้องพึ่งอินซูลิน สิ่งที่ฉันสงสัยคือทำไมปั๊มอินซูลินต้อง ควบคุมผ่านโทรศัพท์มือถือ
  ใช้แค่คอนโทรลเลอร์ Bluetooth ก็น่าจะพอแล้ว ไม่เห็นต้องใช้มือถือราคาถูกจากจีนที่ดูเสี่ยงต่อ ข้อมูลรั่วไหล
  • เพราะเรื่องความปลอดภัย PDM ถูกแยกขาดทั้งหมด และไม่สามารถติดตั้งแอปหรือเชื่อมต่อ Wi‑Fi ได้
    ถ้าควบคุมผิดพลาด อาจเกิด การให้อินซูลินเกินขนาดจนเป็นอันตรายถึงชีวิต ได้
    ที่น่าสนใจคือ Omnipod 5 ของบริษัทเดียวกันในสหรัฐฯ กลับควบคุมด้วยสมาร์ตโฟนทั่วไปได้
  • เมื่อก่อน ถ้าจะให้ปั๊มควบคุมผ่านอุปกรณ์ภายนอก จำเป็นต้องมี คอนโทรลเลอร์เฉพาะของตัวเอง
    นั่นจึงเป็นเหตุผลที่ Insulet ออกอุปกรณ์แยกต่างหาก
    CGM อย่าง Dexcom G7 ก็ขาย ‘คอนโทรลเลอร์’ มาคู่กันด้วยเหตุผลเดียวกัน
    ช่วงหลัง FDA ผ่อนคลายข้อกำหนดนี้แล้ว ทำให้ตอนนี้อนุญาตผลิตภัณฑ์ที่ตั้งต้นจากการใช้โทรศัพท์ของผู้ใช้เองได้
• จริงๆ แล้วอุปกรณ์นี้ถูก reverse engineer (RE) ไปแล้ว
  ดูได้จากโปรเจกต์อย่าง Loop, Trio และ OpenAPS
  Insulet ค่อนข้างผ่อนปรนกับการแฮ็กแบบนี้
  สิ่งที่ต้องการตอนนี้คือคนมาช่วย RE ของ Omnipod 5
  • ฉันก็ได้คุยกับคนไม่กี่คนที่รู้เรื่องงาน RE ของ Omnipod 5 อยู่เหมือนกัน
    ตอนนี้ปัญหาคือ PDM/แอปจะ รับ private key จาก API ตอนล็อกอินแล้วเก็บไว้ใน keychain และใช้ SSL pinning เพื่อกันการโจมตีแบบ man-in-the-middle
    เรายังดึง private key ออกมาไม่ได้ ความคืบหน้าเลยช้ามาก
  • ฉันกำลังพยายาม RE เพื่อ อ่านข้อมูลน้ำตาลในเลือด จากปั๊ม Minimed (780G) อยู่ แต่ยังไม่สำเร็จทั้งหมด
    หวังว่าสักวันจะมีส่วนช่วยได้
• ฉันเคยสงสัยว่ามีขั้นตอนให้ ยื่นเรื่องต่อ FSF ในกรณีแบบนี้หรือไม่
  อยากรู้ว่าพวกเขาใช้เกณฑ์อะไรในการเลือกคดี
  • จริงๆ แล้วไม่ใช่ FSF แต่เป็น SFC (Software Freedom Conservancy) ที่ดูแลเรื่องนี้
    ทฤษฎีหลักที่ใช้กันคือ GPL บังคับใช้ได้โดยเจ้าของลิขสิทธิ์เท่านั้น
    SFC กำลังพยายามให้คดี Vizio รับรองว่า ผู้ใช้ปลายทางก็เป็นผู้รับประโยชน์บุคคลภายนอกที่บังคับใช้ GPL ได้
    FSF จะเข้ามาเกี่ยวข้องได้เฉพาะกรณีที่ได้รับมอบลิขสิทธิ์ไว้ เช่นในโครงการ GNU
    การละเมิดที่เกี่ยวกับ GNU สามารถรายงานได้ที่ license-violation@gnu.org
    SFC ยังเป็นตัวแทนทางกฎหมายของหลายโครงการ เช่น OpenWrt, Git และ QEMU
    หากจะรายงาน ให้ดู หน้าคำแนะนำของ SFC
    อย่างไรก็ตาม SFC มีทรัพยากรจำกัด จึงให้ความสำคัญกับ กรณีที่มีผลกระทบทางสังคมสูง เช่นอุปกรณ์การแพทย์ เป็นอันดับแรก
    โดยเฉพาะเพราะมีคนอย่าง Karen Sandler (ผู้ใช้งานเครื่องกระตุ้นหัวใจไฟฟ้า) และ Bradley Kühn (ผู้ใช้งานเครื่องตรวจน้ำตาลในเลือด) ทำให้พวกเขาสนใจประเด็นอุปกรณ์การแพทย์มาก