特別レポートフリーおよびオープンソース ソフトウェア (FOSS) コミュニティは、一種の三角関係に陥っています。
20年以上にわたり、様々な重要なFOSS開発ツールを支援してきたボランティアグループであるSourcewareは、Linux Foundation傘下のOpen Source Security Foundation(OpenSSF)から支援を求められています。OpenSSFは、Sourcewareプロジェクトに最新のITインフラストラクチャを提供することで、オープンソースソフトウェアのセキュリティ向上を目指しています。
しかし、Sourcewareコミュニティの一部のメンバーは、OpenSSFの支援を受け入れることで、Linux業界の企業がFOSS開発ツールに対してより大きな影響力を持つことを懸念しています。彼らは、ソフトウェアの自由により合致すると考える慈善非営利団体であるSoftware Freedom Conservancyからの支援を求めることを望んでいます。
Linux Foundation も非営利団体であり、Microsoft、Google、Verizon などの後援を受けています。また、Linux 保護団体は Google、Mozilla などの支援を受けています。
このぎこちないコミュニティへの求愛は長年検討され、9月に提案としてまとめられ、FOSSコミュニティの参加者の間で、どのような後援が適切かつ望ましいのかという議論が巻き起こりました。その結果、GNUコンパイラコレクション(GCC)のような開発ツールがどのようにホスティングされ、誰がその費用を負担するのかという問題は、良くも悪くも影響を及ぼすでしょう。
導火線に火をつける
8 月末、システム ソフトウェア開発者の Frank Ch. Eigler 氏は、Sourceware 監督者のメーリング リストにメッセージを送り、24 年の歴史を持つこのオープン ソース プロジェクトが Software Freedom Conservancy (SFC) に資金援助を求めたと発表しました。
Sourcewareは、GCC、GDB、glibc、Binutils、GNATSといったGNUプロジェクトの開発ツールを含む、様々なフリーオープンソース(FOSS)ソフトウェアプロジェクトをホストしています。これらはオープンソースエコシステムの重要なコンポーネントです。
アイガー氏は、IBMのRed Hatが提供しているプロジェクトの現在のインフラは問題ないと主張した。「状況は安定しており、新しいサービスも提供され、ユーザーも満足しているようだ」と同氏は記した。「しかしながら、将来のニーズについても常に考えておくことは良いことだ」
こうしたニーズへの対応計画は順調に進んでいます。6月24日に開催されたOpenJS World 2022でのプレゼンテーションで、OpenSSFのゼネラルマネージャーであるブライアン・ベーレンドルフ氏は、Sourcewareのプロジェクトはまるで唾と糸で繋がれているかのように表現しました。これは業界ではよくある比喩です。
「ビルドサーバーと、GCC、glibc、GDBの開発に関係する非常に重要な部分、つまりLinuxカーネルやLinuxオペレーティングシステム、そして私たちがその上に構築する他の言語のほぼすべてのインタープリターなどを実現する基礎部分には、もう少し厳密さが必要でした」と彼は語った。
「ビルドシステムに関しては、Linuxカーネルに備わっているものをもう少し強化する必要がありました。そこで私たちは、誰もが頼りにしているビルドシステムの堅牢性向上とセキュリティ強化のため、コミュニティと協力して取り組んできました。」
ここ数年、インターネット、経済、そして重要なインフラの多くを稼働させるソフトウェアを提供するオープンソース エコシステムは、もう少し厳格化することで恩恵を受けることが明らかになっています。
オープンソースコードのセキュリティ確保は安くはない
以前
OpenSSF は、オープンソース セキュリティの水準を引き上げる目的で 2020 年 8 月に設立されました。その後、SolarWinds サプライ チェーンの失態、Apache Log4j の脆弱性、Colonial Pipeline ランサムウェア感染など、数々のサイバー攻撃が発生し、これまで FOSS コミュニティではあまり重視されていなかった組織の使命に、より多くの注目が集まりました。
9月18日までに、ベレンドルフ氏のプレゼンテーションで言及されたGNUツールチェーン・インフラストラクチャ(GTI)イニシアチブは、2022年のGNU Cauldronカンファレンスでやや白熱した議論の的となった提案へと具体化しました。9日後、さらなる詳細がSourcewareメーリングリストに公開されました。
GTIは具体的には、Sourcewareプロジェクトに、Gitリポジトリ、メールシステム、問題追跡システム、パッチレビューシステム、ウェブサイト、ドキュメント、CI/CD、ソフトウェア成果物管理、ソフトウェアサプライチェーンのベストプラクティスなど、Linux Foundationが管理するITサービスを提供することを目的としています。計画では、フリーソフトウェアを活用し、不足しているコンポーネントのコード開発を支援者と協力して進めていきます。
GTI はオープンソースのボランティア時代からよりプロフェッショナルなものへの移行を表すものであるかとの質問に対し、ベレンドルフ氏は、FOSS においてはアマチュアとプロフェッショナルの参加が共存できると示唆した。
「こうしたボランティアのインフラの多くがうまく機能してきた理由は、透明性を保ち、自発的な協力に重点を置くことで、[こうしたプロジェクト]が非常に少ないリソースで大きな成果を上げることができたからだ」と彼はThe Registerとのインタビューで説明した。
「余剰サーバーを提供するのは人々であり、場合によっては企業も参加しています。Sourcewareは、エンジニアやその他の資金面でRed Hatから多大な支援を受けています。しかし、本当に機能するのは、こうした参加型の取り組みなのです。」
「この新しいインフラでは、すべてが依然として非常に公開的に行われている」とベレンドルフ氏は語った。
配信に使われるコードはすべて依然としてフリーソフトウェアです。ボランティアが参加して、周辺的な部分で、あるいは新しいサービスの開拓や、インフラ配信に使われるツールの改善に協力する余地はまだあります。ですから、ある意味ではより専門化が進む方向への段階的な変化があるのかもしれません。しかし、オープンソースを強力にするだけでなく、参加するのがとても楽しいものにしてきた要素が失われるわけではありません。
オープンソースセキュリティ
GTI、つまりGNU ツールチェーンの改善という概念は、数年にわたってコミュニティの議論の中で議論されてきましたが、オープンソース エコシステムのセキュリティを確保するための取り組みについて議会に宛てた 5 月 9 日の書簡 [PDF] の中で、Behlendorf 氏によって言及されていました。
Red Hat Enterprise Linux、Fedora、その他のプロジェクト向けGNU Cライブラリに携わるRed Hatの著名なエンジニア、カルロス・オドネル氏によると、このプロジェクトは、Linux FoundationのOpenSSFと協力して、インフラストラクチャとサプライチェーンのセキュリティに資金を提供するという。
オドネル氏によれば、「GNU ツールチェーン コミュニティの主要な利害関係者」がこの提案について説明を受け、それを形作ったという。
- 科学者はnpmとPyPIのパッケージセキュリティを評価したが、それは良くなかった
- オープンソースの脆弱性にどう対処すべきか?Linux Foundationの専門家が語る「迅速に行動すべき」
- オープンソース自体がセキュリティ問題なのではなく、その誤用が問題なのだ
- オープンソースのセキュリティのような問題をどう解決するか?Googleにはアイデアがあるが、制約がうまく機能しない可能性もある
「協議した主な利害関係者には、GNU ツールチェーン プロジェクトのリーダー、GNU ツールチェーン プロジェクトのリリース マネージャー、GNU ツールチェーン プロジェクトのコア開発者、主要ベンダー、アクティブな Sourceware / Overseers 管理者、およびフリーソフトウェア財団の John Sullivan 氏と Zoë Kooyman 氏が含まれています」と彼はメーリング リストの発表で書いています。
しかし、関係者全員がその評価に同意しているわけではなく、提示された説明にも満足しているわけではありません。そしてそこに問題があります。オープンソースのガバナンスは、まるで猫の群れを管理するようなものです。コミュニティのメンバーは、物事がどのように機能すべきかについて異なる考えを持っており、合意形成は容易ではなく、あらゆる状況で必ずしも可能というわけでもありません。
「オープンソース プロジェクトには、非常に多くの異なる見解がある中で、どのように意思決定を行うかという複雑な歴史がある」とオドネル氏はThe Registerのインタビューで語った。
「そのための方法の一つは、提案書を作成し、それを知り合いやコミュニティの信頼できるリーダーたちと共有することです。そして、その提案書を公の場で議論へと展開していきます。」
お金を見せて
それが現在の状況だとオドネル氏は語り、さらに、Sourceware は Red Hat からのサポートを受け続けているものの、Sourceware の管理者の中には、別の財政支援源を探すために SFC に銀行口座を開設するよう依頼している者もいると付け加えた。
ここでの中心的な問題は、GTIとSFCの関与申請(必ずしも相互に排他的ではない)のどちらかが、Sourcewareがホストする様々なプロジェクトのガバナンスやライセンス方法を変えるかどうかである。オープンソースプロジェクトに資金と支援を提供する人々(GTIプランの初年度は28万5000ドル)は、多くの場合、これらのプロジェクトの方向性を決定づける機会を持つ。
「20人ほどのグループで、物事について完全な合意を得るのは本当に難しい」とベレンドルフ氏は述べた。「特に、その一部がSourcewareのインフラを自主的に保守してきた場合、今回のような難しい決断が本当に必要な時に、一部の人々がその体制が不十分だと感じていることを聞くのは辛いだろう。だから、私は今回の決断を、コミュニティとして非常に難しい決断を下したが、適切なプロセスで下したのだと考えている。」
Linux Foundationは木々の代弁者を名乗る伐採業者のようなものだ
GTIを批判する人々は、GTIを企業による乗っ取りだと非難しているが、GTI関係者はこの非難を強く否定している。FOSSコミュニティの中には、MicrosoftやOracleといった大手テクノロジー企業から資金提供を受けているLinux Foundationが、コミュニティの利益よりも企業の利益を優先していると考える者もいる。
オープンソース運動の創始者の一人であるブルース・ペレンズは数年前にこう述べた。「Linux Foundation は、木々に代わって発言すると主張する伐採業者のようなものだ。」
「結局のところ、これは、FOSS プロジェクトにとってどのようなガバナンスと組織が拠点となるべきかという典型的な議論です」と、SFC の政策研究員 Bradley M. Kuhn 氏はThe Registerへの電子メールで述べています。
SFCでは、ガバナンスと組織構造が重要であると強く信じています。具体的には、501(c)(3)慈善団体(SFCなど)と501(c)(6)非営利団体(Linux FoundationやOpenSSFなど)の間には、ガバナンスに大きな違いがあります。
これは、FOSSプロジェクトの拠点となるべきガバナンスと組織の種類についての典型的な議論です。
基本的に、クーン氏は、営利企業に奉仕し共通のビジネス利益を促進する業界団体と呼ばれる501(c)(6)組織と、公共の利益のための教育や擁護などの活動を促進する慈善団体と呼ばれる501(c)(3)組織との間には違いがあると主張している。
「このガバナンスの違いは、この特定の状況では顕著だ」とクルン氏は説明した。
GCC、GDB、glibc、Binutilsのインフラを管理するというOpenSSFの提案の詳細は依然として不明瞭ですが、プロジェクトのインフラを管理する委員会に議席を購入する企業グループが管理機関となると発表されています。この委員会は、(どうやら全体で1票しか持たない技術諮問委員会からの助言を得るなどして)コミュニティの利益のために行動することもあるかもしれませんが、必ずしもそうとは限りません。
Sourceware の監督者であり、Red Hat プラットフォーム ツール グループの上級主席エンジニアである Mark Wielaard 氏はThe Register への電子メールで、Sourceware はほぼ 25 年間運営されており、関係者は今後さらに 25 年間継続されることを望んでいると語った。
「私たちはコミュニティと直接連携し、常に改善に取り組んでいます。ユーザーからも常に要望は寄せられていますが、別のホスティングプラットフォームへの移行に関心が集まることはありませんでした」とウィラード氏は述べた。「私たちが理解している限りでは、サービスの移行提案は、SourcewareがホストするGNUプロジェクトの一部を含む、様々なプロジェクトで一般的に支持されていません。」
オープンソースは20周年を迎え、一般の人々を引きつけようとしている
レジストリファイル
ウィラード氏は、前述の利害関係者との協議は「非常に選択的に行われ、新たなガバナンス体制の構造や実際の技術計画に関する情報は最小限しか提供されなかった」と述べた。また、SFCがSourcewareへの支援に関する公開協議を実施し、Linux Foundationにも参加を要請したと指摘した。
「Linux Foundationは、この1年間、こうした公開討論には一切参加しませんでした」とウィラード氏は述べた。「計画を公表した今でも、提供された詳細は最小限にとどまっています。」
フリーソフトウェア財団(FSF)のエグゼクティブディレクター、ゾーイ・クーイマン氏はThe Registerに対し、FSFはLinux Foundation / OpenSSFの提案を受け、OpenSSF、SFC、そしてSourcewareのボランティアと協議を進めていると語った。クーイマン氏によると、FSFは今週、この件についてコミュニティ内で議論を行ったという。
「議論の焦点は、GNU ツールチェーン プロジェクトのインフラストラクチャに置かれています」と Kooyman 氏は語りました。
FSF は、プロジェクトのための資金調達と資金の保持を含む、全体的な財政支援を行っていますが、Sourceware のボランティアがその点で非常に優れた仕事をしてくれているため (そして、これからもしてくれそうです)、私たちがインフラストラクチャを提供する必要はありませんでした。
FSFは、一般的に、他のソースからリソースを受け取り、インフラを利用するプロジェクトを支持しています。ただし、そのサポートが条件なしで提供され、コミュニティによって支持され、あらゆる場所で完全にフリーなソフトウェアを実現するという使命に合致している必要があります。私たちはインフラの改善を検討する意欲を示してきましたが、今のところ承認は行っていません。
決定は、各GNUツールチェーンパッケージのメンテナーによる意思決定慣行に従って行われなければなりません。GNUの名前を見るたびに人々が自由を期待していることは承知しており、その期待に応えることはFSFの重要な任務です。つまり、私たちは標準的な慣行と保証を求めており、この提案がそれらを満たすことができるかどうかを検討しています。現在、そして将来にわたって。
変更なし
GTI の議論の中で、GNU ツールチェーンのソフトウェア ライセンスを変更する可能性について触れられたことがあるかと尋ねられると、クーイマン氏は、「いいえ、これらの会話のどの段階でもそのように尋ねられたことはありません。FSF はコピーレフトの理念に尽力しています」と答えた。
私たちは政治家ではありません。ただボランティアとして地域社会に貢献したいだけなのです。そして、この状況に私たちは不満を抱いています。
ウィラード氏は、コミュニティでの会話は「コミュニティが抱えていた疑問のほとんどに答えていなかった」と述べ、チャットボックスでセッション中に出された質問には答えられなかったと指摘した。
そのため、今週初めのセッションでは、実際には多くの回答は得られず、むしろ疑問がさらに増えただけでした。そのため、具体的な内容については未回答の質問が残っており、Linux Foundationの計画に関するコミュニティでの議論もほとんど行われていません。
ウィラード氏は、SFCとの協議は継続中で、公開されており、FSFとの協議同様、前向きなものであると述べた。
「私たちは政治家ではありません。ただボランティアとして地域社会に貢献したいだけなのです。こうした状況には本当に困惑しています」とウィラード氏は述べた。「SFCとFSFはこうした政治的な事情を理解しているので、私たちは彼らに協力を依頼し、この状況に対処しています」
「私たちはFSFの技術チームとも協議中です。彼らはGNUプロジェクトの一部を担当しており、Sourcewareからも一部のサービスを受けています。今後、リソース、バックアップ、ソフトウェアリリースなどを共有するために、FSFとより緊密に連携していく予定です。」
GTIの現状について尋ねられたオドネル氏は、まだ始まったばかりだと答えた。「インフラ整備の提案をまとめ、コミュニティと協議を重ねてフィードバックを得ていきます。これはほんの始まりに過ぎません。これで終わりだと感じる人もいるかもしれませんが、全くの逆です。」®
