「オープンソースの終焉?」という不穏なタイトルを掲げている文章だが、TechCrunch Japan ではなぜか翻訳されていないようだ。
このエントリは、今年の春にミネソタ大の研究者が研究のためとして Linux カーネルに意図的に脆弱性コードをコミットしようとし、Linux コミュニティが出禁措置を言い渡したのを受けてミネソタ大学がおわびの公開書簡を発表するにいたった Hypocrite Commits(偽善者のコミット)騒動の話から始まる。
この問題はオープンソースのエコシステムとそのユーザを脅かすもので、このエコシステムはいわゆる FOSS があらゆる人間の事業にますます重要になっているという問題と格闘してきた――と続くのだが、うーん、あの騒動はパッチ主の態度にかなり問題があったと思うのよね。
ともかく Mirantis の CTO でもある Shaun O’Meara は、現在メジャーなオープンソースプロジェクトは巨大化しており、その複雑さや開発速度は、従来の「コモンズ」アプローチや、もう少し進化したガバナンスモデルが対応できる規模をも超えていること、一部の営利団体が従来の FOSS 参加パターンを歪め始めている一方で、FOSS への参加者数は減少しているように見えること、また OSS のプロジェクトやエコシステムは多様で、営利組織が参加したりそれで利益を上げるのが難しい場合があるという問題を指摘する。
このあたり、昨年書いた「2020年においてもオープンソースの持続可能性、そしてビジネスモデルは一筋縄にはいかない」話を思い出した。
さて、一方でオープンソースへの脅威は進化し続けている。攻撃者はより大規模に、より賢く、より素早く、より忍耐強くなっているし、OSS が重要な分野に入っていることの裏返しで攻撃はこれまで以上に経済的、政治的利益をもたらす。Linux カーネルの規模と重要性を考えると、こういった脅威モデルと戦う準備ができていない。具体的には、これまで堅牢で安全なカーネルリリースにうまく機能してきた信頼システムの「インサイダー」モデルが悪用されてエクスプロイトコードがコミットされる危険である。
それに対応する策として、著者が挙げる方策は以下の通り。
- モノカルチャーの広がりを制限する。オープンソースであるというだけでなく、技術的多様性(technical diversity)の導入が重要
- プロジェクトのガバナンス、組織、資金を見直し、特定の人に完全に依存しないようにしながら、営利企業が専門知識などのリソースを提供する動機付けを行う
- スタックを単純化し、コンポーネントを検証してコモディティ化を促進。セキュリティ面のしかるべき責任をアプリケーション層に押し上げる
ここまで書いていて、「オープンソースの終焉?」というタイトルはいくらなんでも釣りだと呆れてしまうが、技術的な多様性も重要なんだろうね。しかし、それにはオープンソースをこれまで支えてきた貢献者の文化をある程度変える必要もあるわけで、それができないと本当に「オープンソースの終焉」につながるんだろうかとも思った。
例によって端折っているところは多いし、ワタシが意味を取り違えているところもあるかもしれないので、詳しくは原文を読んでくだされ。
ネタ元は Slashdot。