先週は Apache Log4j の脆弱性問題が大きな話題となった……と過去形で書いてはいけないのかもしれない。危機はまだ続いている。
今回、脆弱性の破壊力のヤバさとともにクローズアップされたのは、今日、多くのビジネスの生命線となっているオープンソースソフトウェアのメンテナンスが、無報酬であり感謝されない仕事になっており、「オープンソースは壊れている」んじゃないの? という問題である。
20年以上みんなずっと同じ話してるなと思ってしまうが、オープンソースが壊れている、壊れていないの話がやたらに流れている。この文脈ならフリーソフトウェアの時代からずっと壊れてるんだよ。それでも動いているのは自由だからだよ。
— Shuji Sado (佐渡 秀治) (@shujisado) December 14, 2021
この Yawar Amin の文章では、log4j の開発者は、なんでこんな大規模なセキュリティ問題を突きつけられる羽目になったのか、賢く勤勉なはずの人達が、なんでこんな何のメリットもない修羅場に追い込まれてしまったのかを問うている。
まず浮かび上がるのは、上記の何の金銭的報酬もなく、評価もされない(かわりに批判はしっかりされ、嫌がらせまで受けてしまう)問題である。どうして開発者はインターネット全体からさも有給なセキュリティエンジニアリング部門みたいな扱いを受けなきゃいけないのか。オープンソースのライセンスはそんなこと保証してないのに。
そこで引き合いに出されるのは、Clojure の作者として知られる Rich Hickey が書いた Open Source is Not About You における、オープンソースにまつわる社会的な押し付けは、ほとんど根拠を持たない最近発明された「神話」の一種だという訴えである。
Yawar Amin はこれを受け、しかるべきライセンスの下でソースコードを公開する以上のこと(コミュニティの管理と成長、貢献の受け入れ、問題の修正、脆弱性の開示などなど)をしないといけないとメンテナに思わせてしまう「神話」を「素晴らしきオープンソースの洗脳(great open source brainwash)」と呼んでいる。
Log4j の場合、依存してものがあまりに多く、影響がデカすぎたというのもあるが、それにしても「神話」が当たり前のように広く信じられ、反論することは許されない。まるで宗教じゃないか、というわけ。その「神話」のため、オープンソースのメンテナが、大企業のアウトソーシングチームになっているのが現実である。
それなら企業がオープンソースに資金を提供すればいい、いや、そんな単純な話じゃないといった議論になるのだが、何かしら「妥協点」があるはずだと Yawar Amin は書く。
この場合は、最初に問題を指摘した(世界的な大企業であり、Log4j の脆弱性で被る金銭的被害額も多大であろう)Alibaba のエンジニア側が問題の修正の責任を負うべきであり、オープンソースのメンテナは大企業のために無償で働くべきではなく、他の人達は(早く修正しろと言い立てるのではなく)一歩下がって見守り、オープンソースの利用にともなうリスクと責任、そしてコストを受け入れるべきだ、というのが彼の提言である。
オープンソースの持続可能性やビジネスモデルは一筋縄にはいかないという話はワタシも昨年書いているが、うーん、Yawar Amin の提言に怒る人もいるのが予想されるのが現実である。
しかし、そこで思い出すべきは、上で引用した佐渡秀治さんが書く「自由」という言葉の重さ(と破壊性)なのだろう。
またオープンソース・プロジェクトの問題のひとつは「終わらせる」ことが難しいことにあるというのも確か。
ネタ元は Slashdot。
