GitLab が独立した中国企業にテクノロジーをライセンス供与することに関する FAQ
概要
GitLab は、新しい独立した中国企業にテクノロジーをライセンス供与したことを発表しました。この独立した企業は、中国での GitLab の完全な DevOps プラットフォームの普及促進と、GitLab コミュニティおよびオープンソースへの貢献の育成を支援します。
Q. 既存の中国のリセラーおよびシステムインテグレーターのお客様は JiHu に移行しますか?
現時点では、JiHu は設立されたばかりで、現在製品ソリューションを提供していません。中国のローカル市場のユーザーは、JiHu が製品を提供開始した時点で通知されます。
Q. JiHu は GitLab Inc. とは異なる利用規約および顧客受け入れポリシーを持ちますか?
JiHu は独立した会社であり、独自の利用規約と顧客受け入れポリシーを設定します。GitLab Inc. の利用規約やポリシーに従う義務はありません。
Q. GitLab Inc. は新会社の設立にあたり中国政府と協調しましたか?
いいえ、GitLab Inc. は中国政府と協力していません。JiHu は、中国で正式な会社となるために必要な書類を提出し、要求に応じて SaaS ビジネスのための適切なライセンスを取得するために、独自に中国政府と協力しています。
Q. GitLab Inc. と JiHu との間の知的財産はどのように機能しますか?
GitLab 製品には、CE(コミュニティエディション)・EE(エンタープライズエディション)・JH(JiHu エディション)の 3 つのディストリビューションがあります。CE ディストリビューションは引き続きグローバルで利用可能です。EE ディストリビューションは中国以外でのみ販売されます。JH ディストリビューションは中国でのみ販売されます。
GitLab と JiHu は 2 つの別々のリポジトリを使用し、GitLab のリポジトリがアップストリーム、JiHu のリポジトリがダウンストリームとなります。GitLab CE と EE への変更は JiHu エディションに一方向でミラーリングされますが、JiHu エディションへの変更は GitLab CE と EE にはミラーリングされません。
ミラーリングの代わりに、JiHu は現在のコントリビューターに対してすでに設けている綿密なプロトコルに従って、コミュニティエディションとエンタープライズエディションにコントリビュートできます。各コントリビューションは、GitLab アプリケーションに追加される前に、GitLab の厳格なセキュリティとコード品質の基準を満たす必要があります。
独立した会社として、JiHu は独自のテクノロジーとインフラを管理します。JiHu の SaaS サービス(GitLab.cn)と GitLab Inc. の SaaS サービス(GitLab.com)は、共通のインフラ・ネットワーク接続・システム・サービス・データ・リソースを共有しません。
Q. JiHu はコードを GitLab にコントリビュートしますか? GitLab Inc. はどのようにコードベースを悪意ある意図から守りますか?
GitLab 製品には、CE(コミュニティエディション)・EE(エンタープライズエディション)・JH(JiHu エディション)の 3 つのディストリビューションがあります。2 つの別々のコードリポジトリがあります: CE と EE ディストリビューションのみを含むものと、CE・EE・JH ディストリビューションを含む一方向ミラーリングされたリポジトリです。
CE ディストリビューションは引き続き FOSS(フリーオープンソースソフトウェア)として提供されます。
EE ディストリビューションは中国以外のお客様に提供され、JH ディストリビューションで一般的にコントリビュートされた機能やコードは含まれません。CE と EE への JiHu からのすべての段階的なコントリビューションは、承認前に強化されたセキュリティレビューのために GitLab Inc. のメンテナーへのマージリクエストとしてアップストリームに提出されます。
JH ディストリビューションは中国のお客様にのみ提供されます。 GitLab のコードはソース利用可能で、GitLab のオープンソースコンポーネントは MIT オープンソースライセンスの下で公開されています。毎月グローバルコミュニティから受け取る数百のコントリビューションと同様に、JiHu はすでに設けている綿密なプロトコルに従って GitLab CE と EE にコントリビュートします。各コントリビューションは GitLab アプリケーションに追加される前に、セキュリティとコード品質の厳格な基準を満たす必要があります。GitLab Inc. は CE と EE のメンテナーであり、ソフトウェアサプライチェーンセキュリティ手順に従って CE と EE へのマージリクエストを承認する唯一の権限を持ちます。GitLab Inc. は CE と EE に入るすべてのものに対して完全なマージ権限と管理を保持します。
GitLab Inc. はまた、品質とセキュリティの両方を確保するために、JiHu および中国のオープンソースコミュニティからコントリビュートされたコードに対して追加のコード監査とセキュリティ監視を導入しました。外部からコントリビュートされたコードのセキュリティレビューの既存プロセスに従い、以下のいずれかを含むコード機能に焦点を当てます: 認証情報/トークンの処理・認証情報/トークンの保存・権限昇格ロジック・認可ロジック・ユーザー/アカウントアクセス制御・認証メカニズム。GitLab Inc. セキュリティチームは引き続きDeveloper Relations チームと協力し、セキュリティレビューが確立された基準に従って実施されることを確認します。
Q. GitLab はサプライチェーン攻撃をどのように防ぎますか?
GitLab は、意図的なセキュリティ保護を強化し、GitLab と JiHu の間に追加的な分離を確保することで、お客様に強化された厳格な保護措置を提供できます。GitLab ブランドの整合性を守り、ソフトウェア製品のセキュリティを確保してサプライチェーン攻撃を防ぐために、テクノロジーを完全に独立した中国現地の会社にライセンス供与するという慎重な決断を下しました。これにより、さまざまな市場のお客様間、および開発・ホスティング環境内でのさらに強固な分離を確立できます。
GitLab のコードはソース利用可能で、GitLab のオープンソースコンポーネントは MIT オープンソースライセンスの下で公開されています。GitLab のコードコントリビューションプロセスは、悪意のあるコードとサプライチェーン攻撃を特定して防御するために特別に開発されました。GitLab アプリケーションへのサプライチェーン攻撃を検出・防止するのに役立つ多数のコントロールが今日すでに存在しています: コードレビュー・テーブルトップ演習・デプロイ前後のセキュリティ評価/テスト・GitLab Inc. のクラウド環境の継続的なテスト・さまざまな検出・アラート技術が含まれます。業界が進化する中でコントリビューターの ID に対する強力なコントロールを維持し、セキュリティの取り組みを強化するために、最高水準のプロセスへの投資を継続しています。さらに、GitLab Inc. のレッドチームはすべてのコントロールを検証・改善するために、サプライチェーン攻撃をシミュレーションする特定の演習を定期的に実施しています。バウンティプログラム・セキュリティ評価・侵入テスト会社と密接に協力して、セキュリティ態勢の外部レビューを確保しています。
