Closed2021/03/31にクローズ6

mimemagic問題についての情報を集めていく場所

Ruby

gem

ピン留めされたアイテム

catnose 2021/03/31に更新

以下追記です。

Rails `5.2.5`, `6.0.3.6`, `6.1.3.1` で対応済

これらのリリースでmimemagicが他のライブラリ（Apache Tika）に置き換えられたため特に対応が不要となりました。

carrierwaveも2.2.1で対応済み

これで使用者の多いGemではmimemagic問題が解決されたと思われます。

catnose 2021/03/27に更新

mimemagic の件でruby界隈が混乱していますね。このスクラップはそのへんの情報をまとめたいと思ってます。

注意

2021/03/26時点では色々と動きが激しいです。ここに書いてある情報をそのまま参考にはせず、最新の情報か確かめるようにしてください。
推測を含んだコメントを投稿するかもしれません。誤りや補足があれば返信コメントをどうぞ。

mimemagic の何が問題だったのか

この部分はすでに多くの人がツイートや記事にしていると思うので、軽くまとめておきます。

mimemagic というMIMEタイプを検出するライブラリ（gem）がもともとMITライセンスで公開されていた。
しかし mimemagic に含まれていたfreedesktop.org.xmlのライセンスがGPLだと発覚。
GPLのライブラリに依存している場合、それを使っているライブラリはMITライセンスで配布できなかったりする（このあたりはMITとGPLライセンス？とかを読んでもらえば）
Rails や Carrierwave といった人気のライブラリが mimemagic に依存していたため影響範囲がとんでもなく大きい。

なぜこれまで気づかれなかったのか

mimemagic が freedesktop.org.xmlをソースコードの一部として配置していたから、というのはありそう。機械的に判断しようがない。画像はv0.3.5の時点のもの。
2016年から全く更新されていなかったから中身まで見る人が少なかった（？）

mimemagicの新バージョンリリースと旧バージョンの配布停止

上記の問題を解決するためにmimemagic v0.3.6にてMITからGPLへとライセンスが変更される
- それ以下のバージョンはyanked（配布停止）されてダウンロードできなくなった。
- この時点ではライセンスが変更されただけだったので、自分が担当するプロジェクトがGPLライセンスで良いならmimemagicをv0.3.5からv0.3.6にアップデートするだけで良かった。
その後すぐにv0.3.7がリリース。これが「freedesktop.org.xmlを除くことでMITに戻す」という破壊的な変更を含むものだった。しかも v0.3.6もyankedされてしまいダウンロードできなくなった。
- → freedesktop.org.xmlの部分は自分で用意しなければならなくなった。
その後もこまめにパッチバージョンがリリースされる。

現状の対処法

2021/03/26時点の話です。GPLでも問題のないプロジェクトは以下のように対処すれば良さそうですが、MITでなければならないような場合はどうしようも無さそう？

選択肢1. `shared-mime-info`が使用できる環境を整えたうえでmimemagicをアップデート

これを書いている時点で最新の mimemagic バージョンv0.3.9ではGPLであるfreedesktop.org.xmlが既に含まれなくなっているため自分で用意する必要があります。freedesktop.org.xmlはshared-mime-infoというパッケージに含まれています。

Linuxではshared-mime-infoが既にインストールされているようです（この認識は合っている？）。Macならbrew install shared-mime-infoでインストールする必要があります。