Tutorials Brawte nfaq 0 Comments

オープンソースのメンテナーは低賃金で、セキュリティに追われ、高齢化が進む

Table of Contents

オープンソースのメンテナーは低賃金で、セキュリティに追われ、高齢化が進む

オープンソース・パッケージ・セキュリティ企業タイドリフトによると、オープンソース・プロジェクトのメンテナーの大半は仕事に対して報酬を受け取っておらず、セキュリティに3年前の3倍の時間を費やしており、xzバックドア以降は貢献者をあまり信頼しなくなっているという。

保守作業員の人口が高齢化しているのも不思議ではない。低賃金で評価もされないこの仕事に就きたい新規参入者が十分にいないのだ。

Tideliftは火曜日、400人以上のメンテナーが回答したアンケートの結果である2024年オープンソースメンテナーの現状レポート[PDF]を公開した。

調査回答者の約45%は整備士として10年以上勤務しており、年齢構成は高齢化が進んでいる。

報告書によると、「46~55歳または56~65歳と自己申告した従業員の割合は、2021年の最初の調査以来倍増しています(2021年:11%、2023年:27%、2024年:21%)。一方、26歳未満の従業員の割合は、2021年の調査では25%でしたが、昨年は12%、現在は10%へと急激に減少しています。」

回答者は主にヨーロッパ(48%)と北米(38%)出身で、大部分が男性(85%)であると自認しており、残りは女性(6%)、ノンバイナリー(3%)、回答拒否(6%)のボックスにチェックを入れている。

無給の趣味人であると回答した人の割合は、昨年の調査と同じく60%でした。Tideliftは、少なくとも1人の攻撃者が何年もかけてメンテナーの信頼を辛抱強く獲得し、ソフトウェアパッケージを改ざんしてバックドアを仕掛けたxz侵害事件を「残念」と評価しています。この事件は、無給の単独メンテナーがソフトウェアサプライチェーンにとってリスクとなることを示し、対策を求める声が高まっています。

しかし、xz事件は確かに影響を与えました。メンテナーの3分の2(66%)が、非メンテナーからのプルリクエストをあまり信頼しなくなったと回答しました。コードの貢献がより厳しく精査されるようになるのであれば、これは必ずしも悪いことではありませんが、作業量の増加を意味し、必ずしも歓迎されるとは限りません。

こうした変化の兆候はいくつか見られます。回答者によると、セキュリティに費やしている時間は2021年(総作業時間の4%)と比べて3倍(総作業時間の11%)に増加しています。その他の活動としては、日々のメンテナンス作業(50%)、新機能の構築(35%)、資金調達/サポートの獲得(2%)、その他(2%)などが挙げられます。

プロやセミプロのメンテナーは、無給の趣味人よりもセキュリティ作業(13% 対 10%)やメンテナンス(53% 対 48%)に多くの時間を費やしています。

  • C++帝国がSafe C++ブループリントで反撃
  • オラクルは再びJavaScript商標の放棄を要求された
  • テクノロジースタックにAIを導入していますか? 精度と信頼性が懸念材料
  • マイクロソフトのコパイロット「Wave 2」は未回答の疑問の津波だ

メンテナーは、NIST セキュア ソフトウェア開発フレームワーク (SSDF)、OpenSSF スコアカード、ソフトウェア アーティファクトのサプライ チェーン レベル (SLSA) フレームワーク、米国サイバーセキュリティおよびインフラストラクチャ セキュリティ庁 (CISA) の Secure by Design 誓約などの業界のセキュリティ標準をより意識するようになりました。

これらの取り組みのうち、OpenSSF スコアカードはメンテナーの間で最も高い認知度 (40%) を示し、前回の調査 (28%) よりも向上しました。

しかし、メンテナーに実際に推奨プラクティスを実装してもらうという点では、有給メンテナーの方が無給メンテナーよりも実装する可能性が高い (平均 55%) ことがわかりました。

報告書では、無給の趣味人であると考える回答者の割合(60%)と、仕事に対して無給であると答えた回答者の割合(47%)に乖離があることが指摘されています。タイドリフトは、この差異は調査質問の文言に起因すると考えています。無給の趣味人であると自認する人の中には、有給のプロフェッショナルまたはセミプロフェッショナルとみなすには不十分な、わずかな収入しか得ていない人もいるのです。

ペンギン

高齢化が進むオープンソースコミュニティには新鮮な血が必要だ

続きを読む

それでも、Tideliftのレポートによると、メンテナーの収入の大部分は寄付(GitHub Sponsorsなどのプログラムからの寄付が25%)、オープンソースのメンテナンスを明示的に含む企業の給与(24%)、またはTideliftからの収入(19%)によるものであることが指摘されています。企業(5%)、オープンソース財団(3%)、政府やその他の公的機関(1%)からの直接支払いは、メンテナーの収入全体に占める割合は依然としてごくわずかです。

「メンテナーが生み出す価値に対して適切な報酬と評価を与える方法を見つけなければ、ある日目覚めたら、私たちが最も頼りにしているプロジェクトがまったくメンテナンスされなくなっていることに気づくかもしれない」と報告書は述べている。

最後に、Tideliftのレポートでは、オープンソースのメンテナーがAIツールの影響をどのように見ているかについて考察しています。回答者の23%が「非常に否定的」、22%が「やや否定的」、24%が「どちらでもない」、22%が「やや肯定的」、9%が「非常に肯定的」と回答しました。

AIコーディングツールに関するメンテナーの懸念事項としては、明らかに誤りではないものの修正作業が増えるコードや、メンテナーが対処しなければならないプルリクエストのスパムなどが挙げられます。メンテナーの3分の2(64%)は、AIコーディングツールを使用していることが知られている貢献者からのプルリクエストを受け入れることに消極的になると回答しました。®

Tutorials

Smart Recommendations

Discover More