今日、インターネット全体と世界最大級のテクノロジー企業はオープンソースソフトウェアに依存しています。しかし、このオープンソースソフトウェアに時間と労力を捧げているボランティアたちは疲弊しています。彼らは、オープンソースソフトウェアに依存する企業は、単に利益を享受するのではなく、より多くの資金とコードを提供するべきだと主張しています。

ブレイン・バブリッツ氏は、毎日数時間を費やしてGulp.jsユーザーからのメールを確認しています。Gulp.jsはバブリッツ氏が自主的に保守しているオープンソースソフトウェアプロジェクトで、MicrosoftやNASAなどの組織で使用されています。

バブリッツ氏に送られたメールのほとんどは、プロジェクトの更新や修正を求める内容で、彼のToDoリストには果てしなく続くタスクが山積みになっていった。中には丁寧な返信をするユーザーもいたが、多くのユーザーはバブリッツ氏になぜこんなに時間がかかるのかと詰め寄ろうとした。こうした失礼な要求はバブリッツ氏の気分を害し、6ヶ月間も「姿を消す」事態にまで至り、プロジェクトのメンテナンスが完全に停止した。

バブリッツ氏は、「最初はお金があまりなく、周りから何かをしなければいけないと怒鳴られ、全くやる気がなくなった」と語った。

もう一人のオープンソースボランティア、マリーナ・モスティさんは、FormVueLateというプロジェクトのメンテナンスに週10時間を費やしていますが、そこから1円も稼いでいません。モスティさんは、オープンソースプロジェクトへのボランティア活動の資金を得るために、VoiceThreadでテクニカルリーダーとしてフルタイムで働いています。

しかし、モスティ氏は、人気のオープンソースプロジェクトの維持と本業の両立に疲れ果てています。FormVueLateチームの他の開発者も同様に燃え尽きていると彼女は言います。FormVueLateのコードの一部は数ヶ月前に全面的な書き換えが必要になったにもかかわらず、彼らはまだ1行もコードを書いていないのです。

モスティ氏は「私たちにはこうしたことに費やす時間もエネルギーも意欲もない」と語った。

バブリッツ氏とモスティ氏だけではない。他の重要なオープンソースプロジェクトに携わるボランティアたちも、同じような気持ちを抱いている。彼らは、作業が永遠に「解決不可能」で、「健康と幸福に影響を与えている」、「人生の重荷になっている」と訴えている。

しかし、インターネットは彼らの作業を途中で放棄することを許しません。システム全体の背後にあるオープンソースプロジェクトは、デジタル世界にとって不可欠であり、世界中の多くのソフトウェアプログラムの運用を支えています。その中には、Microsoft、Amazon、Netflixといった最大規模かつ最も裕福なテクノロジー企業のプログラムも含まれています。例えば、Googleは自社のウェブアプリケーションをオープンソースプロジェクトに依存しています。

インターネットは長きにわたり、オープンソースプロジェクトの開発者たちの献身的な支援によって成り立ってきましたが、今や崩壊の瀬戸際に立たされています。近年のセキュリティインシデントは、このエコシステムの脆弱性を露呈させ、オープンソース開発者たちは疲弊しています。中には脱退を決意した者もいれば、抗議の意を込めてオープンソースプロジェクトを破壊行為に及ぶ者もいます。こうした開発者への支援の欠如は、インターネット全体を危険にさらすでしょう。

大企業や重要インフラを標的としたサイバー攻撃の急増は頻繁に耳にする一方で、このサイバー攻撃の急増がオープンソースプロジェクトに与える影響についてはほとんど議論されていません。ソフトウェアサプライチェーンマネジメント企業Sonatypeのレポートによると、オープンソースプロジェクトに対するサイバー攻撃は2020年から2021年にかけて前年比650%増加しました。このレポートによると、人気のあるオープンソースプロジェクトの29%に少なくとも1つの既知のセキュリティ脆弱性が存在します。

理論上、オープンソースソフトウェアは、より多くの人がそのコードにアクセスできるほど安全です。しかし、最近のセキュリティインシデントは、開発者が脆弱性の修正を怠ったり、プロジェクトを無視したり、さらにはオープンソースプロジェクトを妨害したりすると、インターネットのエコシステムに重大な悪影響を及ぼす可能性があることを示しています。昨年12月、ハッカーはオープンソースプロジェクトLog4jを悪用し、IBM、Oracle、Amazon、Microsoftなどの企業に侵入しました。サイバーセキュリティ企業のCheck Pointは、潜在的な被害は「計り知れない」ものであり、これは「近年のインターネットにおける最も深刻な脆弱性の一つであることは明らかだ」と述べています。

わずか2週間後、別のプログラマーが有名なオープンソースライブラリColors.jsとFaker.jsを破壊しました。彼は、大企業が意図的な妨害行為によって自分のプロジェクトを無料で利用していることに抗議しているように見えました。

最近、研究者らはMozillaのオープンソースブラウザFirefoxに2つの「重大な」セキュリティ脆弱性を発見しました。さらに、このオープンソースLinuxオペレーティングシステムにも「ここ数年で最も深刻な脆弱性」が存在することが判明しました。

「サプライチェーンの惨事は何度も見てきましたが、これが最後ではないでしょう」と、ソフトウェア企業PromitとKEDAのメンテナーであるトム・カークホーブ氏は、昨冬の出来事について語った。「企業は、ライブラリの削除を決定する前に、オープンソースプロジェクトのメンテナーが製品を開発できるよう支援する必要があるのです。」

すべてがオープンソースです。

オープンソースプロジェクトはソフトウェア自体と同じくらい長い歴史を持っていますが、1990年代にLinuxオペレーティングシステムなどのプロジェクトが業界を席巻したことで人気が高まりました。今日では、オープンソースプロジェクトはAmazon Web Services（AWS）などのクラウドプラットフォームの基盤を形成し、人々が毎日利用するFacebookやGoogleのアプリケーションを支えています。

さらに、オープンソースプロジェクトは成長を続けています。MicrosoftのオープンソースプロジェクトであるGitHubは、過去12ヶ月で26億個以上のコードを獲得しました。OpenLogicが2,660人のプロフェッショナルを対象に実施した調査によると、回答者の77%が2021年に組織におけるオープンソースソフトウェアの利用が増加したと回答しています。

「さらに重要なのは、オープンソースはビジネス界全体、そして私たちの日常生活全体にとって非常に重要で影響力があるということです」と、ソフトウェア企業レッドハットの最高技術責任者、クリス・ライト氏は述べた。「ソフトウェア業界全体に浸透しています。」

給料はほとんどまたは全くない

オープンソース プロジェクトが広く普及し、インターネット経済において重要な役割を果たしているにもかかわらず、オープンソース プロジェクトの開発者のほとんどは、その貢献からあまり収入を得ていません。

Tideliftが約400人のオープンソースソフトウェアのメンテナーを対象に行った調査では、46%が報酬を受け取っていないことが明らかになりました。報酬を受け取っている人でも、年間1,000ドル以上の収入があるのはわずか半数程度でした。さらに、回答者の約半数が、オープンソースプロジェクトのメンテナーとして最も不満に感じているのは報酬の不足であると述べています。

オープンソースの自由さは不公平さにもつながります。現在、オープンソースプロジェクトは男性が中心となっており、自由な時間や安定した仕事に恵まれない人は、報酬がないと貢献する可能性が低くなります。

GitHub Sponsors、Tidelift、Open Collectiveといったウェブサイトは、開発者が寄付やその他の報酬を受け取ることを認めることで、資金調達問題の解決に取り組んでいます。しかし、開発者たちは寄付だけに頼るのは持続不可能だと述べており、多くの開発者は月にコーヒー一杯分しか稼げない状況です。

「利用可能なプラットフォームはすべて試しました」とバブリッツ氏は語った。これらのサイトの成功は「あなたの仕事が完全に無料ではない」ことにあると彼は言うが、GitHub Sponsorsから受け取るのは月に5ドル程度に過ぎない。バブリッツ氏はオープンソースにほぼフルタイムで取り組んでいるものの、主な収入源は過去2年間のコンサルティング業務だ。

オープンソースプロジェクトは資金不足に苦しんでいる一方で、皮肉なことに最も裕福なテクノロジー企業が最大の恩恵を受けています。一部の開発者にとって、この二つの視点を両立させることは困難です。多くの人は、これらの大手テクノロジー企業がオープンソースプロジェクトに十分な利益をもたらしていないと考えています。

例えば、Amazonはオープンソースソフトウェアを再パッケージ化し、自社のAWSクラウドプラットフォーム上で販売・運用するケースが多い。しかし、開発者や中小企業は、Amazonはこれによって多額の利益を上げているものの、オープンソースプロジェクトに実際にコードを貢献している割合は低いと指摘する。MicrosoftとGoogleはオープンソースプロジェクトに友好的であると主張しているが、MicrosoftはFree and Open Source Software Foundationを通じて資金提供しているオープンソースプロジェクトはごくわずかであり、Googleは従業員が余暇に作成したオープンソースコードを保有していると主張している。

「問題は、企業も個人も、自分たちが実はエコシステムの一部であることを認識していないことです」と、オープンソース開発者のアマル・フセイン氏は述べた。「ボランティアが時間やお金を寄付することが重要なのです。」

ボランティアたちは疲れ果てていた

パンデミックの拡大、サイバー攻撃の増加、ソフトウェアの複雑化、責任の増大、そしてボランティア活動による経済的不安定さにより、オープンソースプロジェクトの開発者は疲弊しています。Tideliftの調査では、オープンソースプロジェクトのメンテナーの40%以上が、個人的なストレスや感情が軽視されていると感じることを嫌がると回答しました。TideliftのCEO兼共同創設者であるドナルド・フィッシャー氏は、プレッシャーの多くはユーザーからの多数の苦情に起因していると述べています。

開発者のマッテオ・コリーナ氏は、こうした要求の厳しい人々を「吸血鬼」と呼んでいます。コリーナ氏は、「長年メンテナーを務めてきた人たちのやる気がなくなりつつあるため、現状は維持不可能ですが、吸血鬼はまだ存在しています」と述べています。

Google、Apple、任天堂が利用する Vue オープンソース プロジェクトの中核メンバーである Natalia Tepluhina 氏は、ユーザーから「なぜ 2 週間もこの問題が修正されないのですか?」や「なぜこんなに遅いのですか?」といった質問がよく寄せられると述べています。

「ちくしょう、私はあなたのために無料で働いているのよ」とテプルチナは言った。「なぜそんなことを言うの？」

一方、イフィオック・オトゥン・ジュニア氏のオープンソースプロジェクト「Remirror」は、スポンサーシップを受けながらも、より厳しい監視を招くだけだと主張している。昨年、彼は憤慨して6ヶ月間プロジェクトを放棄した。

「この道を歩けば歩くほど、ますます不幸を感じます」とオードンは言った。「私の人生にとって重荷になってしまったのです」

多くの開発者が、自分がメンテナンスしているプロジェクトを離れ、あるいは完全に姿を消しています。Tideliftの調査によると、メンテナーの約59%が、何らかの時点でプロジェクトを離れた、あるいは離れることを検討した経験があると回答しています。

例えば、ライアン・ビッグ氏はかつてオープンソースのeコマースプロジェクトSpreeの唯一のフルタイムメンテナーでした。GoDaddyやBlue Apronといった企業がこのプロジェクトを利用していたにもかかわらず、ビッグ氏は最終的に仕事のプレッシャーに「打ち勝つ」ことができないと感じていました。毎日、新しい要件やバグ修正に関する250件以上のメッセージが届くのを目にしていました。2014年、ビッグ氏はSpreeのフルタイムメンテナーを辞め、テクノロジー企業に転職しました。

「結局、それは私の健康と幸福に影響を与えました」とビッグ氏は語った。

MkDocsの素材は、MicrosoftやAmazonなどの企業で使用されているオープンソースソフトウェアです。創設者のマーティン・ドナス氏は、需要の高まりにより、オープンソースソフトウェアの開発を継続すべきかどうかという「ジレンマ」に陥ったと述べています。しかし、最終的には資金援助のおかげで開発を続けることができました。

「プロジェクトが放棄されるのは、単に時間と関心が足りないからです。ある意味では、時は金なりです」とドナット氏は言う。

プロジェクト資金が枯渇

オープンソース開発者が十分な報酬を得てソフトウェア開発に専念できる場合でも、オープンソースプロジェクトは資金不足のリスクに直面することがよくあります。Facebook、Airbnb、Netflixが利用しているオープンソースプロジェクトであるBabelは、3人のコア開発者に給与を支払っていましたが、2021年に破綻の危機に直面しました。当時、3人のコア開発者の1人であるニコロ・リバウドは、Babelを離れ、別の企業でフルタイムの仕事に就くことさえ検討していました。

幸運にも、Babelは十分な注目を集め、資金調達に成功しました。プロジェクトのコア開発者が支援を求めるブログ記事を投稿したことで、Babelを利用していた多くの企業は、これが「当たり前のこと」ではないことに気付きました。スポンサーが殺到し、コアチームのメンバーは報酬を得て、Babelの維持と改善を継続することができました。Libodo氏は、運用チームの給与は業界では「高給」ではないと明かし、企業に勤めればもっと稼げるはずだと述べました。しかし、その給与はイタリアでの生活を支えるには十分だったと彼は言います。

「このプロジェクトではより質の高い仕事が提供でき、他の自由時間を犠牲にする必要がなくなったため、私たちにとっても楽になりました」とリボド氏は語った。

Babelプロジェクトは間違いなく幸運に恵まれている。Kubernetes（Google発）、React（Facebook発）、そしてLinuxオペレーティングシステムといったプロジェクトは、いずれもスポンサーシップに頼って存続している。しかし、資金援助を受けているこれらの大規模プロジェクトと比較すると、業界が依存する多くの小規模プロジェクトは、メンテナーに一銭も支払っていない。

「彼らは食物連鎖の底辺に位置し、しばしば認知もスポンサーシップも得られない」と、ESLintプロジェクトの創設者ニコラス・ザカス氏は述べた。Facebook、Microsoft、NetflixはいずれもESLintプロジェクトを利用している。ザカス氏によると、自身のプロジェクトは資金を獲得したものの、フルタイムの開発チームを維持するには「到底足りない」という。

ペーパーハウス

多くのオープンソースプロジェクトは、圧倒的な需要とメンテナンススタッフの低賃金により、崩壊の危機に瀕しています。一方、大企業はこれらのオープンソースソフトウェアプロジェクトから利益を得ているものの、その恩恵をほとんど受けていません。

開発者は金銭のためにオープンソースプロジェクトに専心するわけではありませんが、無償で働くことのリスクはインターネットを危険にさらします。セキュリティインシデントに迅速に対処できなかったり、プロジェクトから離脱することさえ選択できなかったりすると、ソフトウェアの脆弱性は高まります。

開発者たちは、企業は予算を、自分たちが頼りにしているオープンソースプロジェクトを支援するために使うべきだと述べました。お金の問題だけではありません。企業がコードの貢献やバグ修正もしてくれるとありがたいと思っています。

「オープンソース自体は金銭とは全く関係ありません」と開発者の加藤大志氏は述べた。「もちろん、何らかの形で維持することは可能です。しかし、その根底にあるのは相互扶助の文化です。悪意を持って全てを奪い、何も返さないのは不健全で不道徳です。」