THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT OF THIRD PARTY RIGHTS. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.

そんな OSS に対して、

「あなたがこのメールを受け取ったのは、■■があなたが開発した製品を採用しているためです。私たちはこのメールをあなたが受け取ってから24時間以内に、お読みいただいた上でご返答いただくよう要求します」

といった上から目線のメールを開発者に送るというのは、IT 企業として無知にもほどがあるといったところ。加えて log4shell 問題、名前のとおり log4j の脆弱性なので Java でかつ log4j を使ってなければ影響はないのに、C言語でかかれた cURL に問い合わせているので問題を全く理解していない。(Java の j が消えるので log4shell という命名はどうなんだというのは個人的にある。つーか Poodle とか Spectre とかファンシーな名前つけてあそんでんじゃねーとも思う。)

しかも緊急性の高い脆弱性に今ごろ質問？って感じ。

なお cURL はどうやら開発者の Daniel Stenberg 氏が wolfSSL というところを通じて商用サポートを提供しているらしい。　https://curl.se/support.html]

ということで、「サポート契約を結んでいただければ、喜んですべて速やかにお答えしますよ」というのはネタでもなんでもなく、普通の対応。

でもこの返しかっこいいしあこがれちゃう。

そしてブログに書いてある2回目の返信で、David と名前を間違えられたのに対して、Fotune 500 の巨人ということで "Hi Goliath," と返しているのも最高にクールですね。

なんでこんなメールが送られてくるのか

あくまで経験＋想像だけど

今回のような脆弱性は CVE というデータベースに登録される
大企業（SIer などの開発会社だけでなく、銀行などのユーザ企業含む）は脆弱性などセキュリティに対応するための専門部門がある（情報セキュリティ部門、以下情セキ）
情セキは CVE などのセキュリティに関する情報を日々収集しており、log4shell のような重大な問題があると、関係部門にチェックを依頼する
大企業の場合、自社開発、ユーザとして使っている製品、その依存関係まで全部リスト化してチェックしていて、それに対して報告せよといってくる
緊急度の高い問題の場合、〇日以内に報告せよとかなり厳しい（今回の log4shell は特にやばく、情報流出やサーバ乗っ取りまであり得るのでかなり急いだ）
開発担当は情セキからの依頼を受けてとにかく情セキからきたリストに書かれている製品に対して、開発会社やサポートに大丈夫？って質問をする

こういうフローが事前に規定されていて CVE とか問題が検知されると発動する。このときに担当が大丈夫です！って回答するときにエビデンス（証拠）を求められるのだけど、クソな情セキは自社の担当の言葉を信用せず、開発会社からの言質をとれ！って命令するので、くそメールがスパムされるという背景があったりする。（担当が無知だったりイケイケだと、とにかく下請けにやらせればいいというパターンももちろんある）

そして情セキも経営層に報告するのに必要で、経営が0リスク信者だと報告が大変なのはわかる。わかるがそれを説得するのが情セキの仕事やで。

加えて担当レベルになると大手は「そんなん下請けにやらせればいいだろ」ってマインドのところが多く、上から目線かつ丸投げすることが多いように思う。

理由

大手ほど人件費の単価が高いから、大手のプロパ社員は手を動かさない（個人の感想です）
上流は下請けに金払っているから使えるだけ使ったほうが得じゃんというマインドがある（個人の感想です）
下請けも次の仕事が欲しいから下手にでて、くそ営業がなんか無料/格安で受けてきちゃう（個人の感想です）
上流の担当がコード書かずに Excel パワポとにらめっこがメインで、脆弱性の意味がわかってない（個人の感想です）
ユーザ企業含め上流工程に係る人は実装の細部を知らなかったりする（個人の感想です）

もちろん担当者はピンキリだからこうとは限らないけど比較的多い印象。

ま、これ今回 Daniel Stenberg 氏が公表したからばずってるだけで、日本でもしょっちゅう行われているし、Hacker News みると海外でも一般的なムーブのようです。 LogJ4 Security Inquiry – Response Required | Hacker News

ほんと IT 業界は地獄だな！

小さいところは

情セキないし脆弱性にあんまり詳しくないから気づいてない
やばいの？よしなにやっておいて？でおわる
技術力がちゃんとあって、自社で解決できる
わからないところがあっても、あんまり上から目線でこない

とかであんまり上から目線でこない感じはするけど、これはあくまで個人の資質なのでやべー人はやべーです。オラオラ系の中小とかやっぱいます。でもこんな細かいことはあんまり聞いてこない。（個人の感想です）

この手のメールになんでカチンとくるのかって言えば

そもそもウエメセがうざい
つーか契約がないのに何言ってんの？
でも今後の取引上断りにくい
ということで貴重な時間がとられる
そしてちょっと気を許すと、クソほど追加質問、クソExcel フォーマット埋め、製品に関係ない質問やら別件がついてくる
そんなクソムーブが年収5000兆円もらってるだろう大手からしれっとくる

ということで、皆ちゃんと保守・サポート契約して、契約範囲で質問しような！

そして金払ってても相手は人間なんで、お互い敬意をもって接しような！

その他諸々

Public Key でこの件にからめて記載されている奴について

OSS「faker.js」と「colors.js」の開発者、自身でライブラリを意図的に改ざん　「ただ働きはもうしない」

https://www.itmedia.co.jp/news/articles/2201/11/news160.html]

ちな、これ詳しくないんだけど、OSS 作者が「もうただ働きで支援をするつもりはない。これを機に、私に6桁ドルの年間契約書を送るか、プロジェクトを分岐させて他の人にやってもらうかしてほしい」というのもよくわからないんだよなぁ。

火事で財産失ってむしゃくしゃしてやったのかなんなのか。人気 OSS になったのに全然金にならんぜ！ってのが辛いのはわかる。が、OSS のライセンス的に支援を義務としてやる必要はないので、そんな義務的になってる報告は無視してええんちゃうんと思ってしまう。今回みたいにサポートフィーよこせみたいなスキームが必要だったのかもしれない。

あと個人開発で、善意でこれ便利だろ？って公開しているものに対して、辛辣な言葉の心ないバグ報告やら改善要望は心には刺さるので辛いのはある。それで辞めてしまう人も居る。

ブコメでフリーライドって書いている人が居るけど、MIT ライセンスでだしてんだから OSS の理念である自由なソフトウェアという意味で、再配布、改変、利用は自由でいいんだよ。イヤなら MIT 以外のライセンスでだせばよい。古くは MySQL の Dual ライセンス、最近の Redis とか Mongo みたいに。