オープンソース協会開源社

以下の記事は、Mingshuo Open Source、著者 Randy Bias によるものです。

この記事は元々「地政学的オープンソース・アポカリプスの回避」というタイトルで、オープンソース・コミュニティが直面する可能性のある大きな問題、すなわち地政学的要因によってコミュニティが東西の二分化に陥る可能性について論じています。この記事は、オープンソース・コミュニティに対し、地政学的対立を乗り越え、オープンソース・ソフトウェアのセキュリティとサプライチェーンの完全性を確保するために協力し、「オープンソース・アポカリプス」の可能性を回避するよう呼びかけています。

オープンソースコミュニティは分断化の傾向に直面しているのでしょうか？先日、香港で開催されたCNCF: KubeCon + CloudNativeCon China Summitに参加しましたが、講演者やプレゼンターは主に中国人でした。香港では予想通りの展開でしたが、最も印象的だったのは、数多くの新しいオープンソースプロジェクトが主に中国で開発されていたことです。

近年、中国はオープンソースの世界においてますます重要な拠点となっています。中国企業は、OpenInfraやCloud Native Computing Foundation（CNCF）といった主要なオープンソース団体でも優れた実績を上げています。オープンソースの世界に分裂の兆しが見えてくるのでしょうか？東西のエコシステムが出現し、時折重なり合うだけになるのでしょうか？それとも、違いを乗り越え、共通の利益のために協力していくことができるのでしょうか？

中国がオープンソース分野に参入した画期的な出来事は、1999年のRed Flag Linuxのリリースでした。それ以来、中国では数多くの新しいオープンソースプロジェクトが誕生しました。これらのプロジェクトは主に中国の開発者によって主導されていますが、オープンソース財団への参加を通じて、認知度と信頼を得ようともしています。

TechTarget（アジア太平洋地域）の記事「中国におけるオープンソースの台頭」によると、著者のアーロン・タン氏は、GitHubコミュニティバイスプレジデントのストーミー・ピーターズ氏によるあるイベントでの基調講演を引用し、「国別で見ると、中国はGitHub開発者数が世界で2番目に多い」と述べています。さらに、中国は現在、財団の資金の10%以上を占めています。ストーミー・ピーターズ氏の許可を得て、これらの点を説明するために、彼女の講演からスライドを引用します。

多くの国と同様に、中国は自らの運命を自らコントロールしたいと考えており、独自のLinuxディストリビューションを開発し、国内のオープンソースプロジェクトの急速な成長を実現しました。これは驚くべきことではなく、オープンソースの世界にとって良い兆候と言えるでしょう。

もちろん、オープンソース分野における大きな推進力となるという意欲に不満を表明することはできません。西側諸国は長年にわたりオープンソース分野を支配しており、中国企業が主に中国の開発者によって開発されたソフトウェアを優先的に使用するのは全く理にかなっています。

しかし、問題はここにあります。現在の地政学的状況を考えると、欧米企業は同じソフトウェアを採用する意思があるでしょうか？米国の大手金融機関がRHEL（Red Hat Enterprise Linux）から、例えばopenEulerやopenKylinに移行するとは想像しがたい。欧米諸国では既に、Huaweiのようなハードウェア企業を疎外する合理的な傾向が見受けられます。

圧力が高まり、人々が主に欧米の開発者によって開発されたオープンソースソフトウェアを利用するようになるのは時間の問題でしょう。一方、中国の機関は、欧米発祥で欧米が支配するオープンソースプロジェクトよりも、自国で開発されたオープンソースプロジェクトを優先するかもしれません。

前述のCNCFイベントで、同僚から主に中国で開発されているデータベース・アズ・ア・サービス（DBaaS）のオープンソースプロジェクトとの協業を提案されました。しかし、当社のポートフォリオに含まれる顧客の種類を考えると、大手金融機関、政府機関、通信会社などにこの協業を推進するのは非常に困難だと判断しました。

このDBaaS企業のウェブサイトに掲載されている顧客リストを見たところ、記載されている顧客はすべて中国企業でした。リスクに敏感な欧米企業に、主に東洋で開発・使用されているオープンソースソフトウェアを採用してもらうのは非常に困難です。他の国については懸念があるかもしれませんが、中国やロシアほどオープンソースソフトウェアの開発量が多くなく、国家安全保障上のリスクもそれほど深刻ではないため、問題にはなりにくいでしょう。

オープンソースソフトウェアは一般的に安全だと考える人もいますが、本当にそうでしょうか？本当に信頼できるのでしょうか？欧米で開発された主要なオープンソースソフトウェアも、過重労働のボランティアメンテナーに過度に依存しているため、セキュリティ上の脆弱性を抱えています。オープンソースソフトウェアのセキュリティを確保するには、時間、労力、そして厳密な取り組みが必要です。残念ながら、多くのプロジェクトには、セキュリティリスクを綿密に特定するために必要なリソースと専門知識が不足しています。

さらに重要なのは、オープンソースソフトウェアは単独で存在するわけではないということです。オープンソースソフトウェアはどれも、長い依存関係を持つ「サプライチェーン」を持っています。そのため、特定のソフトウェアを導入する際に、他にどのようなコードが含まれているかを確認するためのSBOM（ソフトウェア部品表）が存在します。しかし、これはソフトウェアのセキュリティを保証するものではありません。

最近、国家支援を受けた攻撃者がソフトウェアサプライチェーンを攻撃し、OpenSSHにバックドアを仕掛けた可能性が非常に高いことが分かりました。この脆弱性は、一部のLinuxディストリビューションの依存関係にひそかに導入され、その後、意図的に他のディストリビューションにも展開されました。

これらはすべてオープンソースソフトウェアです。しかし、前述のSubstackの記事によると、サイバーセキュリティ研究者であり、Pwnie Award Lifetime Achievement Awardを受賞したミハウ・ザレフスキ氏は、「私たちは今、私のキャリアの中で最も大胆なサイバーセキュリティインシデントの一つを目撃した」と述べています。オープンソースソフトウェアは、コードが可視化されているからといって、本質的に安全であるとは限りません。むしろ、悪意のある攻撃者による悪用に対して脆弱である可能性もあるのです。オープンソースソフトウェアを継続的に検証し、保護することは、今後、東西を問わず、すべての人にとって大きな課題となるでしょう。

これが、オープンソースの終末が迫っている理由です。オープンソースは東西の二大陣営に分裂する可能性があります。両者は互いに信頼し合うのでしょうか？それとも、部族主義が強固なメンタリティを生み出し、オープンソース界に大きな分裂をもたらすのでしょうか？オープンソースは、公共の共有空間であるからこそ機能するのです。分裂すれば、二つのオープンソースの世界が生まれ、一方はどちらの側も信頼し合えない状態になります。これは、今日の東西間の貿易戦争に似ています。この分裂は、双方にとってイノベーションと最善のソリューションの採用を遅らせる可能性があります。

コミュニティとして、私たちは地政学的対立を乗り越え、オープンソースソフトウェアとそのサプライチェーンのための信頼できる公共空間を育まなければなりません。すべてのステークホルダー間のエンゲージメント戦略が不可欠です。ソフトウェアサプライチェーンのセキュリティ確保をめぐるコミュニティの構築と共通の関心事の構築は、すべての参加者にとって不可欠ですが、独立したオープンソース財団だけに頼るだけでは不十分です。

これらの組織はどのようなものになるでしょうか？まず、オープンソース界における国連機関のように、あらゆる地域からのリーダーシップが必要となり、すべての人を平等に代表します。理想的には、資金力のある者が発言権を持つ「金銭問題」のような状況にはならないはずです。これらの組織は、オープンソースのサプライチェーンを保護するためのベストプラクティスを提供し、セキュリティ認証を取得するための具体的なコードベースガバナンスモデルを施行します。

彼らは、あらゆるオープンソースプロジェクトに利用可能なコード監査およびスキャン機能を備えた公的機関および民間組織と連携します。オープンソース貢献者の身元確認・確認方法を提供することで、提出物の責任を明確にする手段を提供する可能性があります。ベストプラクティス、無料ツール、開発者認証を提供するだけで、オープンソースサプライチェーンへの信頼を大きく高めることができます。

現在、コードベースのセキュリティはプロジェクトごとに管理していますが、この状況が続く限り、私たち全員がリスクに直面することになります。将来のオープンソースの終末を回避するためには、グローバルコミュニティとして行動し、オープンソースソフトウェアのサプライチェーンのセキュリティを確保する必要があります。

前回の更新からしばらく経ちました。実はこの記事に気づいたのは随分前のことで、昨日の大きな出来事を踏まえ、オープンソースの潜在的なリスクについて議論するきっかけにしたいと思いました。全体として、この記事の分析は洞察に富んでおり、オープンソース分野における中国の台頭と、それがもたらす可能性のある課題を浮き彫りにしています。著者は、オープンソースソフトウェアのセキュリティはオープンであることで保証されるものではなく、維持するには継続的な努力とリソースが必要であると正しく指摘しています。これはオープンソースコミュニティにとって重要な警告です。オープンソースだからといって、セキュリティ問題を無視できるわけではありません。この記事の結論は建設的で、グローバルなオープンソースソフトウェアサプライチェーンのセキュリティ戦略と、オープンソース界のための「国連」の設立を呼びかけています。これは、オープンソースソフトウェアのセキュリティと信頼性を確保するためのグローバルな協力を促進するという大胆なアイデアです。しかし、この目標を達成するには、間違いなく大きな政治的・文化的障壁を乗り越える必要があり、オープンソースコミュニティにとって大きな課題となるでしょう。

オープンソースの世界は今後どのように発展していくのでしょうか？読者の皆様のご意見をお待ちしております。

著者｜ランディ・バイアス

編集者：李南

関連資料

オープンソース開発の歴史

オープンソースソフトウェアの供給が途絶えるリスクはありますか？

オープンソース協会の紹介

2014年に設立されたオープンソース協会（KAIYUANSHE）は、オープンソースの理念に献身的に貢献する個々のボランティアで構成されるオープンソースコミュニティであり、「貢献、合意、そして共同統治」の原則に基づき活動しています。KAIYUANSHEは、「ベンダー中立性、公益性、非営利性」の原則を堅持し、「中国を拠点とし、世界に貢献し、新時代のライフスタイルとしてオープンソースを推進する」というビジョンを掲げています。その使命は「オープンソースのガバナンス、国際的な連携、コミュニティの発展、そしてプロジェクトのインキュベーション」であり、健全で持続可能なオープンソースエコシステムの共創を目指しています。

オープンソース協会は、オープンソースを支援するコミュニティ、大学、企業、政府機関と積極的に連携しています。また、世界的なオープンソースライセンス認証組織であるOSIの中国初の会員でもあります。

2016年以降、中国オープンソースカンファレンス（COSCon）が毎年開催され、「中国オープンソース年次報告書」が継続的に発表されています。また、「中国オープンソースパイオニアリスト」と「中国オープンソースコードパワーリスト」も共同で立ち上げ、国内外で幅広い影響力を発揮しています。