[PSL-Brasil] Corrupção no IRPF

[Alexandre Oliva]

On May 22, 2008, "Joao S. O. Bueno" <gwidion en mpc.com.br> wrote:

> On Thursday 22 May 2008, Pablo Sánchez wrote:
>> 2008/5/22 Alexandre Oliva <lxoliva en fsfla.org>:
>> > binários que violam os direitos autorais da FSF

>> Hã.... vc não quis dizer "princípios éticos" dado que nesse caso a
>> FSF não teria NENHUM direito autoral sobre o código do binário da
>> Receita?

> Não =- eles quis dizer direito autoral mesmo.
> Não me lembro dos detalehs extatos, mas se você achar os artigos do 
> Oliva sobre o IRPF 2007 vai ver que nas etapas de engenahria reversa 
> descobriu-se que o IRPF em java usa dezenas de bibliotecas 
> diferentes, muitas das quais com licença livre - que obrigaria a 
> distribuição do código fonte, e algumas da FSF mesmo. Esta situação 
> ao que consta não foi corrigida.

Correto.  De fato, o IRPF2007 usava entre 10 e 15 bibliotecas de
Software Livre (dependendo de como se conta), das quais umas 3 estavam
sob licença copyleft fraco (no caso, LGPL).

Algumas das violações já foram corrigidas na versão de 2008 (enquanto
outras novas foram introduzidas); outras permanecem.


Agora, acabo de descobrir que o ReceitaNet também viola a LGPL, não só
a da GNU libc, da FSF, no instalador para GNU/Linux/x86, como também
do projeto OpenSign.

Dentro do receitanet.jar, no diretório mscapiprovider, tem um
arquivinho chamado LEIAME.txt junto com COPYING.txt, que diz:

  O componente de acesso ao KeyStore da microsoft é, em grande parte,
  derivado de parte do projeto OpenSign. Sendo assim, o código fonte
  encontra-se neste diretório juntamente com a licensa LGPL sob a qual
  é distribuído.

  Note que somente as classes necessárias à assinatura digital do
  Receitanet foram mantidas, as outras foram descartadas.

  A parte JNI foi muito modificada, pois o projeto original contém
  MUITOS memory leaks.

  A URL do projeto OpenSign é: http://www.openoces.org/opensign/

Os fontes de fato estão lá, mas os copyright notices do projeto
OpenSign não estão.  Não sei dizer se já não estavam antes, ou se
foram removidos, ou se o SERPRO copiou trechos de código sem copiar os
copyright notices.  Mas, de um jeito ou de outro, faltam copyright
notices apropriados ao código fonte, uma violação dos termos da
LGPLv2.1:

  provided that you conspicuously and appropriately publish on each
  copy an appropriate copyright notice and disclaimer of warranty;
  keep intact all the notices that refer to this License and to the
  absence of any warranty

Outra violação (em que IRPF2008 também falha) diz respeito à seção 6:

  You must give prominent notice with each copy of the work that the
  Library is used in it and that the Library and its use are covered
  by this License.  [...]If the work during execution displays
  copyright notices, you must include the copyright notice for the
  Library among them, as well as a reference directing the user to the
  copy of this License.

O aviso de que a biblioteca está presente no programa fica escondido
dentro de um .jar que o usuário não é encorajado a abrir.  O 'About'
do ReceitaNet, onde aparece o copyright notice da RFB, não menciona os
copyrights dessa biblioteca nem sua licença.


No sub-diretório mscapiprovider/JNI, tem um arquivo chamado
WinCrypt.h, que diz:

//  Copyright (C) Microsoft Corporation, 1992-1999.

sem quaisquer termos de licenciamento.  Será que a Receita Federal
também está violando os direitos autorais da Microsoft?

-- 
Alexandre Oliva         http://www.lsd.ic.unicamp.br/~oliva/
Free Software Evangelist  oliva@{lsd.ic.unicamp.br, gnu.org}
FSFLA Board Member       ¡Sé Libre! => http://www.fsfla.org/
Red Hat Compiler Engineer   aoliva@{redhat.com, gcc.gnu.org}