オープンソースソフトウェアにいくつかの落とし穴がある場合

2019年7月31日午前7時

小規模なオープンソース開発者たちは、Amazon のようなテクノロジー大手が自分たちのコードを商用サービスに利用することに反撃している。

オープンソースソフトウェアの人気が高まり、重要性が高まるにつれて、開発者は存在そのものに関わる問題に直面します。無料で提供するものからどうやって収益を得るのか?

標準化団体であるオープンソース・イニシアティブ（OSI）は、オープンソース・ライセンスは、ユーザーが基盤となるソースコードを閲覧し、変更し、必要に応じて共有することを許可しなければならないと定めています。現在、独立系開発者も大企業も、これらのライセンスの下でソフトウェアを日常的にリリースしています。多くのプログラマーは、オープンなコラボレーションがより良いソフトウェアを生み出すと考えています。中には、マーケティング目的でコードを公開している企業もあります。オープンソース・ソフトウェアは、スマートフォンのOSから政府のウェブサイトまで、多くのテクノロジーの基盤となっています。

「世界全体がオープンソースソフトウェアで動いている。実質的に無償で働くよう求めることで人々を破滅させることなく、この状態を維持する方法が全く分からない」とコンサルティング会社インフィニティ・インタラクティブの技術担当副社長、ジョン・アンダーソン氏は言う。

オープンソースライセンスに基づいてソフトウェアをリリースする企業は、それぞれ異なる方法で収益を上げています。IBMが今月初めに340億ドルで買収したRed Hatのように、サポートを提供する企業もあれば、クラウド自動化企業のHashiCorpのように、オープンソースコンポーネントをベースにしたプロプライエタリソフトウェアを販売する企業もあります。しかし、クラウドコンピューティングの台頭に伴い、開発者は、自社のオープンソースコードがサービスにバンドルされ、他社によって販売されることを目の当たりにしています。例えばAmazonは、人気のオープンソースデータベースRedisをベースにしたクラウドホスティングサービスを提供していますが、これは、このオープンソースプロジェクトのスポンサーであるRedis Labsが提供する同様のクラウドホスティングサービスと競合しています。

このような事態を防ぐため、人気のオープンソースプロジェクトを運営する企業は、他社による自社ソフトウェアの利用方法を制限しています。Redis Labsは昨年、コア製品の複数のアドオンを、商用クラウドコンピューティングサービスの一部として提供することを実質的に禁止する条件で再ライセンスしたことで、この流れの先駆けとなりました。これにより、Amazonなどのクラウドプロバイダーは、競合するRedisサービスでこれらのアドオンを使用できなくなります。これらのアドオンが提供する機能を利用したい企業は、自らその機能を開発するか、Redis Labsから許可を得る必要があります。

「もしこのイノベーションすべてを自由なオープンソースライセンスの下でライセンス供与し続けると、クラウドプロバイダーはコミュニティに何も貢献することなく、それをサービスとしてホスティングし始め、エコシステムから多くの経済的価値を搾取する可能性があると感じました」と、Redis Labsの最高マーケティング責任者であるハワード・ティン氏は述べている。「そうなると、私たちはこの投資に資金を投入し、コミュニティに還元することができなくなってしまいます。」

アナリティクス企業のConfluentとデータベースメーカーのCockroachDBも、同様の条件をライセンスに追加し、クラウドコンピューティング企業が自社のコードの一部または全部を使用して競合サービスを構築することを禁止しました。一方、MongoDBは昨年、主力データベース製品のライセンスを新たな「サーバーサイド・パブリック・ライセンス」（SSPL）に変更しました。このライセンスでは、データベースシステムをクラウドサービスとして販売する企業は、追加ソフトウェアのソースコードも公開する必要があります。また、顧客はMongoDBから商用ライセンスを購入することもできます。

同じソフトウェアを2つの異なるライセンスで提供する「デュアルライセンス」は、オープンソースコミュニティで議論の的となっています。オープンソース・イニシアチブは、SSPLをはじめとする新たに採用されたライセンスをオープンソースライセンスとは見なしていません。

Redis LabsのTing氏は、新しいアプローチは効果を上げていると述べています。例えば、Googleは今年初め、Redis Labs、Confluent、MongoDBなど複数のオープンソース企業との収益分配パートナーシップを発表しました。しかし、新しいライセンスは、Amazonが3社が商用化したオープンソースプロジェクトをベースにした自社サービスを販売することを阻止していません。例えば、Amazonは1月にDocumentDBをリリースしました。これは、より寛容なライセンス条項を含むMongoDBの以前のバージョンと互換性のあるデータベースサービスです。

Amazonは、オープンソースソフトウェアの敵ではなく味方だと自称している。今月初め、オレゴン州ポートランドで開催されたオープンソースカンファレンス「OScon」での講演で、Amazon Web Services（AWS）のテクノロジスト、アルン・グプタ氏は、昨年11月にリリースされた仮想マシン管理システム「Firecracker」など、同社のオープンソースへの貢献を高く評価した。グプタ氏はまた、Amazonが昨年リリースしたRedis向けの暗号化ソフトウェアなど、外部プロジェクトにもコードを提供していることを指摘した。

同カンファレンスで、アマゾンのクラウドアーキテクチャ戦略担当副社長エイドリアン・コッククロフト氏は、オープンソースクラウド管理会社Chefとの提携を含む収益分配契約を通じて、あるいは単にサービスを製品として提供することで製品の信頼性を高めることによって、同社のクラウドサービスが実際にオープンソースプロジェクトを支援していると主張した。

ティン氏は、Amazonは少数の企業とのみ収益分配契約を結んでおり、RedisへのAmazonの貢献を軽視していると反論する。Amazonの唯一の貢献は、Redisのデータベースソフトウェアの次期バージョンに組み込まれる予定の暗号化コードだけだと述べている。

オープンソース支持者の中には、より制限的なライセンスへの傾向を非難する声もある。彼らは、オープンソースコードの再利用をめぐる争いを、オープンソースの原則や個々の開発者を軽視した、中小企業と大企業の間の争いと捉えている。非営利団体ソフトウェア自由保護協会のブラッドリー・M・クーン会長は、制限的なライセンスを採用する企業は、オープンソースを「コードが利用可能であること」のみを意味し、他者が自由に使用できることを必ずしも意味しないものとして再定義しようとしていると指摘する。「オープンソース・イニシアティブの定義を覆そうとする動きが広がっている」とクーン氏は指摘する。

サン・マイクロシステムズ、ペイパル、アイルランドのテクノロジーコンサルティング会社ニアフォームでオープンソース・イニシアチブを率いてきたダネーゼ・クーパー氏は、こうした取り組みは目新しいものではないと指摘する。サン・マイクロシステムズは、Javaプログラミング・プラットフォームを、他者によるプラットフォームの改変を制限するライセンスの下でリリースした。これが、2010年にサンを買収したオラクルと、Android OS向けに独自のJavaプラットフォームを開発したグーグルの間で、長期にわたる法廷闘争を引き起こした。こうした、完全にオープンソースとは言えないライセンスは、その下でリリースされるソフトウェアの有用性とプロジェクトへの貢献者を制限していたため、最終的に人気を失っていった。「新しい世代は、古い世代と同じ過ちを犯している」とクーパー氏は言う。

「（両陣営の）道徳的な憤りはナンセンスだ」と、Chefの共同創業者で元CTOのアダム・ジェイコブ氏はOSCONの基調講演で述べた。MongoDBのような企業はAmazonと比べれば規模は小さいかもしれないが、それでも十分な資金を持っていると彼は述べた。MongoDBは1月31日締めの会計年度で2億6,700万ドルの売上高を計上し、時価総額は約80億ドルである。

ジェイコブ氏は、オープンソース企業はより制限の厳しいライセンスを採用することなく収益を上げることができると述べています。AmazonがChefと収益分配契約を結ぶずっと前から、AmazonはChefのオープンソースソフトウェアをベースにしたサービスを提供していました。しかし、ジェイコブ氏によると、Amazonのサービスは多くのChefユーザーの期待に応えられなかったとのことです。そこでAmazonは、自社の顧客の声に応え、Chefと提携して、Chefに利益をもたらすより良いサービスを開発しました。

この議論は、ソフトウェアの開発や保守のために開発者に報酬を支払うことができない小規模プロジェクトのニーズを覆い隠していると指摘する声もあります。オープンソースプロジェクトへの資金不足は、深刻な影響をもたらす可能性があります。最も有名な事例としては、2014年にセキュリティ研究者がOpenSSLとBashに深刻なセキュリティ脆弱性を発見したことが挙げられます。これらの脆弱性は、複数の主要OSに搭載されており、多くのユーザーが危険にさらされる可能性があります。OpenSSLとBashはどちらも、セキュリティ監査人を雇う余裕のないボランティアによって運営されていました。

小規模プロジェクトへの資金提供を目的とした取り組みも行われている。その中には、開発者に支払うための資金を調達するSoftware Freedom Conservancyなどの非営利団体や、単独では成果を商業化できない可能性のあるオープンソースプロジェクトのバンドルに対するサポートを販売することを目指すTideliftなどのスタートアップ企業などがある。

ジェイコブ氏によると、オープンソース企業のビジネスモデルと、それらのプロジェクトを中心に成長するコミュニティの間には、しばしば緊張関係が存在します。開発者はオープンソースソフトウェアを可能な限り優れたものにしたいと考えるかもしれません。しかし、そのソフトウェアの独自拡張機能を販売することで利益を得ようとしている企業は、顧客を自社の独自製品へと誘導するために、ソフトウェアを必要最低限の品質に抑えたいと考えるかもしれません。オープンソース版があまりにも優れていれば、顧客はアドオンにお金を払う必要がなくなるからです。

企業がオープンソースソフトウェアで利益を上げようとし、他社がそうするのを阻止しようとするのは何も悪いことではないと彼は言う。しかし、開発者が何を期待すべきか理解できるよう、そうした期待は早い段階で明確にしておくべきだと彼は考えている。そのため、ジェイコブ氏は「持続可能なフリー＆オープンソースコミュニティ」というウェブリソースを作成し、オープンソースプロジェクトの様々なビジネスモデルと、持続可能なオープンソースコミュニティを導くための原則をまとめた。真のオープンソース精神に則り、このサイトのコンテンツはオープンソースであり、他者が貢献している。ジェイコブ氏は、最終的には、今日様々な標準ライセンスや行動規範を採用できるのと同じように、オープンソースプロジェクトが採用できる様々な「社会契約」の拠点となることを期待している。

WIREDのその他の素晴らしい記事