世界中でオープンソースプロジェクトの数が急速に増加しており、中国の開発者数とオープンソースプロジェクトの数はともに急増しており、高品質なプロジェクトの数もそれに伴い増加しています。第14次五カ年計画では、デジタル技術オープンソースコミュニティなどのイノベーションコンソーシアムの発展を支援し、オープンソースの知的財産権と法制度を改善し、企業によるソフトウェアソースコード、ハードウェア設計、アプリケーションサービスのオープン化を奨励することも提案されています。

中国情報通信研究院（CAICT）が発表した「オープンソース・エコシステム白書（2021年版）」によると、中国は世界最大のオープンソース・プラットフォームであるGitHubへの貢献度で米国に次ぐ世界第2位となっています。2020年には、GitHubにおける中国人貢献者数は37%増加し、別のオープンソース・プラットフォームであるGiteeにおいても中国人貢献者数は50%増加し、600万人を超えました。また、オープンソース・プロジェクトの育成を支援する第三者中立組織や財団も中国で設立されつつあります。

工業情報化部は、国家の「第14次五カ年計画」に「オープンソースデジタル技術コミュニティなどの革新的コンソーシアムの発展を支援し、オープンソースの知的財産権と法制度を整備し、企業によるソフトウェアのソースコード、ハードウェア設計、アプリケーションサービスのオープン化を奨励する」ことを明記し、2021年末には「ソフトウェアと情報技術サービス産業発展のための第14次五カ年計画」を発表し、「2025年までに国際的に影響力のあるオープンソースコミュニティを2～3つ構築し、10以上の高品質なオープンソースプロジェクトを育成する」という目標を打ち出し、オープンソースプロジェクトの発展を積極的に推進している。

中国のオープンソースコミュニティの3つの特徴

中国のオープンソースソフトウェア産業は、欧米の先進国に比べて比較的遅れてスタートしました。オープンソースコミュニティの発展段階は、5段階（起爆剤、発展、連携、結晶化、普及）に分けられますが、中国のオープンソースコミュニティプラットフォームのほとんどは最初の3段階にあり、商業的な交流を積極的に開始しているのはごくわずかです。参加企業数で見ると、国内のオープンソースソフトウェア市場における主要なプレーヤーはクラウドコンピューティング企業です。

現在、我が国のオープンソースコミュニティプラットフォームは、主に開発者コミュニティ、コードホスティングプラットフォーム、オープンソース財団、オープンソース組織で構成されています。現状から見ると、我が国のオープンソースソフトウェア開発は比較的最近で、現在は初期段階にあります。しかし、今後3～5年で急速な成長が見込まれており、成熟したソフトウェア企業がオープンソース陣営に加わることで、国内ソフトウェア産業の成長が加速すると予想されています。

中国オープンソースソフトウェア推進連盟が12年の間隔を置いて発表したオープンソースコミュニティに関する2つの統計分析は、中国のオープンソースコミュニティの発展における二極化の傾向を明らかにしています。プロジェクト型コミュニティの数は増加しているものの、その成長の勢いは十分ではありません。これらのプロジェクト型コミュニティを観察すると、その変革と分化における3つの重要な特徴が明らかになります。

まず、 CNCF Foundation傘下のTiKVプロジェクトや、Apache Foundation傘下のSkyWalking、Kylin、Pulsarなど、一部のプロジェクト型コミュニティは、第三世代オープンソースコミュニティ（グローバルなオープンソースコミュニティおよびオープンソース財団）をホストコミュニティとして直接選定しようと試みています。これらの国際志向のプロジェクト型コミュニティは、より多くのリソースを集め、プロジェクトをグローバル市場に展開し、最終的には世界をリードする第三世代コミュニティに統合することができます。しかし、この国際化プロセス全体には高い参入障壁があり、言語コミュニケーション、オープンソース文化、国際コミュニティのルール、そして管理メカニズムに関する包括的な理解と熟練度が求められ、多くの国内開発者を躊躇させています。

第二に、 OpenEuler、Deepin OSコミュニティ、Ubuntu-Kylinといった第二世代のオープンソースコミュニティは、発起企業が主導・運営しています。こうした自立型プロジェクトコミュニティにとって最大の課題は、企業の自主性とコミュニティの持つオープンな共存ガバナンスという遺伝子をいかに調和させるかということです。これは、コミュニティが外部リソースを獲得するための前提条件です。さらに、オープンソースガバナンスの専門的専門家とコミュニティ運営チームも必要となります。企業の経営理念やモデルだけでコミュニティを運営することは困難です。

第三に、オープンソースプロジェクトは、アリババのYunqi開発者コミュニティのように、特定の技術エコシステムを中心に集積することが多い。複数のプロジェクトを育成しているものの、コア技術や製品は単一の企業によって提供されており、発起企業またはコア技術企業が資金を提供する第二世代のオープンソースコミュニティと言える。このようなエコシステム志向のプロジェクトコミュニティには、十分なリソースの投入が必要となる。規模が不十分な場合、コミュニティ内の複数のプロジェクトが客観的に注目とリソースを分散させるため、このモデルを維持することは困難である。この道を選ぶ企業は「長期戦」を覚悟する必要がある。そうでなければ、1つのプロジェクトに焦点を絞り、力を集中させ、段階的に進めていくべきである。

リスクと課題

Red Hatの最新市場調査レポート「2022年企業オープンソース状況」によると、ITリーダーの95%がオープンソースを自社にとって非常に重要だと考えていることが分かりました。これは昨年の90%から5%増加した数値です。Red Hatはまた、今後2年間で調査対象企業におけるオープンソースソフトウェアの利用率が8%増加すると予測しています。オープンソースソフトウェアは世界中の開発者やユーザーに利便性をもたらす一方で、技術リスク、法的リスク、サプライチェーンリスクといった課題も抱えています。中でも、根深いセキュリティ脆弱性、マルウェアインジェクション、オープンソースライセンスの競合、主要オープンソースコンポーネントのボトルネックなどは、世界的な対応を要する共通の問題となっています。中国にとっても、米国に拠点を置くオープンソース技術ベンダーやサービスプロバイダーによる技術輸出制限のリスクがあります。そのため、中国の開発者とユーザーは、これらの課題に対処するため、できるだけ早く包括的なオープンソースリスク防止システムを構築する必要があります。

技術的リスク

オープンソースソフトウェアはソースコード共有を伴い、その構成情報の多くはユーザー名やパスワードといった機密データを含んでいます。適切なコードレビューと検証が行われなければ、コード共有を通じて大量の機密情報やデータが漏洩する可能性があります。オープンソースソフトウェアの公開ソースコードに企業データベースにアクセスするコードが含まれている場合、データベース全体がデータ漏洩の危険にさらされるだけでなく、社内文書やユーザー情報の漏洩につながる可能性もあります。米国のサイバーセキュリティ企業Snykのレポート「2019年オープンソースセキュリティ状況調査」によると、脆弱性の78%は間接的な依存関係に存在し、オープンソース開発者の37%は継続的インテグレーション中にいかなる種類のセキュリティテストも実施しておらず、開発者の54%はDockerイメージに対してセキュリティテストを一切実施しておらず、アプリケーションの脆弱性の数は2年間で88%増加しています。シノプシスの「2021年オープンソースセキュリティおよびリスク分析レポート」によると、コードベースの84%に少なくとも1つの脆弱性が含まれており、脆弱性率は過去3年間で年々増加しています。また、レビュー対象のコードベースの60%に高リスクの脆弱性が含まれています。ソースチェックツールを用いて人気のあるオープンソースプロジェクトをスキャンしたところ、プロジェクトの53.8%に極めて高いリスクがあることがわかりました。そのため、オープンソースソフトウェアは導入後に多大なメンテナンスコストを必要とします。

法的リスク

法的リスクは主に知的財産権、つまり著作権、特許、商標権に関係します。オープンソースソフトウェアも知的財産権の保護を受けていますが、多くの人がオープンソースソフトウェアは無料だと誤解しています。近年、オープンソースソフトウェアをめぐる知的財産紛争が頻発しています。これは、オープンソースソフトウェアの柔軟性と利便性を享受する一方で、関連する知的財産法規によって保護されているという事実を見落としているからです。

著作権侵害のリスクは、主に次の 2 つの側面から生じます。1 つ目は、オープンソース ソフトウェアのユーザーがオープンソース ライセンス契約の規定に従ってソフトウェアを使用しないことです。2 つ目は、貢献者が著作権を所有していないコードをオープンソース コミュニティに提供し、オープンソース ソフトウェア自体に著作権上の欠陥が生じることです。

特許は20年間保護されます。オープンソースソフトウェアがソフトウェア特許権を侵害した場合、「発行者」だけでなく「ユーザー」も法的責任を負うことになります。

ソフトウェア商標とは、ソフトウェア製造者が自社の開発または製造したソフトウェアを他のソフトウェア製品と区別するために、ソフトウェアパッケージの表面、またはソフトウェアの動作中に画面上に表示されるテキストやグラフィックなどの特別なマークを指します。オープンソースソフトウェアの商標は、他のソフトウェア製品と同様に商標法によって保護されています。私の国では、商標登録の有効期間は10年間で、1回につき10年間更新できます。

サプライチェーンのリスク

オープンソースソフトウェアは地政学的な影響を受ける可能性があります。オープンソースソフトウェアは公開されていますが、オープンソースプラットフォームとコミュニティには国境があります。ロシア・ウクライナ紛争の間、GitHubはロシアの開発者によるオープンソースソフトウェアへのアクセスを制限しました。

3つの開発提案

オープンソース組織とコミュニティの共同かつ多様な開発を促進する

私たちは、開発者コミュニティの発展を奨励し、業界間のコラボレーションと産業界、学界、研究機関間のエンパワーメントを促進し、中国のオープンソースコミュニティなどのイノベーションコンソーシアムの包括的な発展を推進します。

オープンソースホスティングとリスク管理システムの改善

オープンソースリスク管理システムを確立し、オープンソースコードホスティングプラットフォームを改善し、国内のオープンソースソフトウェアの知的財産権を促進および保護します。

オープンソースガバナンスシステムの構築

自発的なオープンソース企業とオープンソースユーザーのためのオープンソースソフトウェア管理システムを確立するために、第三者組織はオープンソースソフトウェアガバナンスの業界標準を策定し、オープンソースソフトウェア管理ルールの策定、オープンソースソフトウェアのテスト方法の明確化、オープンソースソフトウェア監視プラットフォームの構築を通じて、オープンソースガバナンスシステムの構築を促進する必要があります。