mimemagicの最新動向

https://hackmd.io/@mametter/mimemagic-info-ja

この文書はruby-jp Slackの#railsチャンネルの議論を有志を中心にまとめたものです。

起きたことの概要

Railsの一部であるactivestorageが依存しているmimemagic gemが、ライセンス関連の問題でrubygems.orgから取り下げられました。これにより、mimemagic <= 0.3.5に依存しているRailsアプリがbundle installに失敗するようになりました。

mimemagic <= 0.3.5に依存している場合のエラーの例：

Your bundle is locked to mimemagic (0.3.5), but that version could not be found

shared-mime-infoがインストールされていない場合のエラーの例:

Could not find MIME type database in the following locations:
["/usr/local/share/mime/packages/freedesktop.org.xml", "/opt/homebrew/share/mime/packages/freedesktop.org.xml",
"/usr/share/mime/packages/freedesktop.org.xml"]

Railsユーザーはどうすればいい？

（2021/03/27現在）Rails 5.2.5 / 6.0.3.6 / 6.1.3.1 はmimemagicに依存しなくなりました。これらにバージョンアップしましょう。

https://weblog.rubyonrails.org/2021/3/26/marcel-upgrade-releases/

都合によりRailsをアップデートできない・したくない場合

アプリケーションを配布する際のライセンスがGPLになっても構わない、あるいは他者に配布しないのでGPLのライブラリがあっても問題ないのであれば、mimemagicをアップデートして対応することも可能です。
互換性を重視して0.3系を使う場合は以下のようにします。

0. shared-mime-info をインストールする

• macOS: brew install shared-mime-info
• Ubuntu, Debian: apt-get install shared-mime-info
  • ruby:buster や cimg/ruby コンテナには元々入っているが、rubylang/ruby にはない
• Alpine Linux: apk add shared-mime-info
  • ruby:alpine コンテナにはデフォルトでは入っていない
• Amazon Linux 2, Red Hat Enterprise Linux 8: (標準でインストール済みのため作業は不要)
• 詳しくはmimemagicのドキュメントを参照

1. Gemfileに gem "mimemagic", "~> 0.3.10" といった記述を追加する
2. ターミナルでbundle update mimemagic を実行する

他の方法

mimemagicに依存しているactivestorageが不要なら外す手もあります。

• （何らかの理由でRailsのバージョンを上げられない場合のみ？）
• https://gist.github.com/mensfeld/3437de2fae7fc58faccbf28c2e825443 のようにすればactivestorage gemをインストールせずにRailsを使える
• activestrorage以外に、paperclipやcarrierwaveなどもmimemagicに依存しています。そのため、それらのgemを使っている場合には単にactivestorageを外しただけではmimemagicの依存が外れないので注意が必要です。

mimemagic 0.3系と0.4系の違い

• 0.4系はoverlay.rbが削除されている
  • MimeMagic.addの使用例みたいなもの
  • デフォルトでは読み込まれない(require "mimemagic/overlay")ので、これを使っていなければ0.4系で問題ないと思われる
• CarrierWave(2.2.0以下)では依存指定が "mimemagic", ">= 0.3.0" になっているため、このgemを使用している状態で bundle update mimemagic すると0.4系の最新版が入る場合がある。ただしCarrierWaveには現時点で0.4系では削除されているoverlay.rbに依存しているコードがあるため、強制的に0.3系を指定する必要がある。
  • 具体的には、Gemfileに gem 'mimemagic', '~> 0.3.0' を追加して、0.3.x系を要求する。Railsと同じくCarrierWaveの次期バージョンでmimemagicへの依存が取り外されたら、この指定も削除してmimemagicをインストールしないようにすると良い。

mimemagicに依存しているRails以外のgem

• CarrierWave

  • ファイルアップロード用のメジャーな老舗gem。方式は違うがActiveStorageのような存在。
  • こちらのissueで有志が議論、対応中。 一部フォーク先で修正対応も？メンテナは静観中か。gemとしての公式対応は今のところなし。content typeを取得するためにmimemagicを使っているが、併用しているminimimeに一本化などは可能かも。
  • 上の「mimemagicを最新版に上げる」を行うと0.4.x系最新版が入ってしまうため、0.3.x系を強制する必要がある（上記のGemfileでの指定を参照）
  • Railsに合わせてmimemagic依存をmarcelに切り替えるプルリクエストが出ている。マージされればRailsの対応バージョン以降では特別な対応が必要なくなりそう マージされました。次バージョンリリース待ち。
  • 2.2.1がリリースされ、Rails同様にmarcelを使用することでmimemagicに依存しなくなりました。
  • 2.2.0以下を使用する場合はmimemagicに依存するため、mimemagic 0.3.x系を強制する措置をとってください。

• Carrierwave::Base64

  • CarrierWaveと一緒に使用し、ファイルをBase64で扱うためのgem。
  • こちらのissueがmimemagic関連。gemとしての公式対応は今のところなし。 内部的にファイルのバイナリからファイルタイプを判定するためにCarrierWaveの実装に追加してmimemagicを使用しているので、他のgemに変更などはできなさそう。
  • 上の「mimemagicを最新版に上げる」を行うことで現時点では解消できる（CarrierWave単独使用時のmimemagicのバージョン問題は発生しない）
  • v2.9.0がリリースされ、CarrierWaveと同じくmimemagicの代わりにmarcelを使うように。なお、CarrierWaveの2.2.1も必要になる。

• Paperclip

  • ファイルアップロード用のメジャーな老舗gemで、CarrierWaveと人気を二分していた。ActiveStorageの登場でDeprecatedとなり、移行を推奨されている。
  • こちらのissueで議論中。
  • Deprecatedになった本家のフォーク先では非公式にメンテナンス継続中で、mimemagicを削除するPRが立っている。
  • フォーク先ではCarrierWaveと同じく、mimemagicをmarcelに切り替えるプルリクエストが出ている。
  • 本家にも同様のプルリクエストが出ていたが、mimemagicがすでにMITライセンスであること、本家自体がDeprecatedであることから却下されている。。

かんたんな経緯

1. mimemagic 0.3.5以前が、MITライセンスで配布されていたが、GPLのファイル（freedesktop.org.xml）に依存していた
2. 0.3.5までのすべてのgemがrubygems.orgからyank（削除）され、0.3.6がGPLとして公開された
3. 0.3.6が再度yankされ、システムにインストールされたfreedesktop.org.xmlを使うように変わった0.3.7がMITライセンスで再度リリースされた
   • そのため、brew install shared-mime-infoなどでシステムにfreedesktop.org.xmlをインストールする必要が生じた
4. Railsがmimemagicへの依存を取り除いたバージョンをリリースした
   • freedesktop.org.xmlの代わりに、Apache Tikaの情報（Apacheライセンス）を利用するようになった。PR

GPL2.0ライセンスを利用すると、ソースコードを要求されたら開示しないといけないの？

https://www.gnu.org/licenses/old-licenses/gpl-2.0-faq.ja.html#GPLRequireSourcePostedPublic より引用

GPLでは、あなたが改変した版をリリースすることは要求してはいません。改変を加えて、リリースせずに個人的に使うのはあなたの自由です。これは組織(企業を含む)でも同様で、ある組織は、改変した版を用意してそれを組織外にリリースすることなく内部的に利用することができます。
しかし、もしあなたが改変された版を何らかの形で公にするならば、GPLはあなたが改変したソースコードをユーザがGPLのもとで入手できるようにすることを要求します。

すなわち、GPLは改変されたプログラムを特定のやり方でリリースする許可を与えていますが、別の形でのリリースは許可していないのです。しかし、リリースするかどうかはあなた次第です。

(おまけ)mimemagicバージョン一覧

https://rubygems.org/gems/mimemagic/versions

• ~0.3.5[yanked] MITライセンス 今回の件で取り下げられた。
• 0.3.6[yanked] ライセンスだけGPLv2に直したもの
• 0.4.0[yanked]
• 0.3.7 freedesktop.org.xmlを同梱しないようになり、代わりにユーザが自前で用意する形にすることでMITライセンスに戻った
• 0.3.8
• 0.3.9
• 0.3.10
• 0.4.1
• 0.4.2
• 0.4.3

参考

• https://github.com/mimemagicrb/mimemagic/blob/master/CHANGELOG.md
• https://github.com/mimemagicrb/mimemagic/commits/master

(おまけ2) marcelの挙動変更について

marcelのmime type判定の挙動が一部変わっているので注意
https://sasa5740.hatenablog.com/entry/2021/03/29/223635

marcelでissueが上がっており、marcelのmimemagic外しの対応を行ったメンテナが反応しているのでそのうち修正されるかも。
https://github.com/rails/marcel/issues/35

(おまけ3) rails 5.2.5 と 6.1.x 以外の rails を組み合わせて使っている人向けの注意点

mimemagic に依存しなくなった rails 5.2.5 に CSRF トークンのフォーマットが Urlsafe Base64 になる変更が(意図せず?)入っているようで 5.2.5 で生成されたセッションが 5.2.4.x 以下 or 6.0.x で読めなくなってしまっているようなので rails 5.2.5 と 6.1.x 以外の rails を組み合わせて使っている人は要注意です。

https://github.com/rails/rails/issues/41783