オープンソースソフトウェアの現状と課題--Open Source Initiative(OSI)調査
コメント
注目のコメント
オープンソースのソフトウェア(OSS)には未だに普通のお薬に対するジェネリック薬みたいなイメージがあるかもしれませんが、実際はある分野で支配的な技術が元よりオープンソースなので結果として使わない選択はあり得ない、というケースも多々あります。
記事で挙げられているKubernetesはその代表例ですし(まあNomadもありますが、これもOSS)、データサイエンスやエンジニアリングで使われるフレームワークやライブラリの多くもそうです。AWSやAzureといったクラウドプラットフォームのSDKも基本オープンソースで、プラットフォーム自身がその機能拡張等を商用サポートのないOSSとして提供している事も少なくないです。
何れにせよ代表的なOSSには大抵サポートやエンタープライズ向けの拡張(それこそ使いやすいWeb UIとか)を有償で提供する会社が存在するので、必要であればお金を払って安心と使い勝手を買うことも出来ます。
セキュリティに関してはOSSそのものの品質以外に、無償で手軽に利用できる故にちゃんと統制しないと不味いOSSまで開発に取り込んでしまうリスクかあります。サプライチェーン攻撃とも呼ばれますが、悪意のあるコードを仕込んだライブラリやDockerのイメージを公開レポジトリに登録する事で、これらを知らずにアプリケーションの開発時に組み込んでしまうことで被害を受ける問題です。
実のところ現在この問題が最も頻繁に報道される分野の一つがデータサイエンスでも用いられるPythonで、PyPIという最もよく使われるPythonパッケージの公開レポジトリにもっともらしい名前(ミススペルすると踏んでしまうような名前)で登録されたパッケージに攻撃コードが仕込まれていたというニュースが毎月のように報じられています。「それほど扱いやすいものとはなっていない」というのは多分解釈が違っていて、実際のところは「プロが使う道具はそれなりのリテラシーを要求する」ということだろう。コンプライアンスは社内規定なんで一旦置いておくとして、セキュリティは動くコードがある以上避けることはできないリスクだ。同じ量のコードがあって同じ程度に活発に開発されているならオープンソースだろうが内製だろうがリスクも同じぐらいあると考えていい。誰が書いたコードだろうがどこにあろうが問題は変わらない。スキルについては難しいものを作ろうとすればそれに伴って必要になるものなので、これもオープンソースかどうかと言う話ではない。プロが使う道具とは単にそういうものなのだ。
オープンソースは「有るから使う」からレベルアップして、一緒に成長させる、とか、あのエンジニアチームと一緒に世界をより良くする、こういう広くて高い見方と実行動ができる様に、自分たちの組織を変えていくように促されます。
開発エコシステム全体の進化をどう支えるか。ですね。
セキュリティやコンプライアンスのガーディアンは必要ですが、そうした知見を進化の為に寄与するかしないか、組織が試されます。 試験に不合格な組織は、今後オープンソースをネタに丸投げ思考が逆利用されるかもしれません。
※ちなみに、わたしはニフティーサーブのMIDIフォーラムから、音楽をもらうだけで、貢献はできませんでした。。。