8月28日、オープンソースとソフトウェアセキュリティの世界で広く知られるJosh Bressers氏は、「Open Source is one person」と題したブログ記事を公開しました。きっかけは、The Registerが報じた「米国防総省がロシア人開発者のツールを使用している」という記事で、同氏はこの報道に対し、痛烈な怒りをぶつけています。
Josh氏の怒りは、単なる国籍への偏見ではなく、オープンソースの構造的な脆弱性を無視し、個人をスケープゴートにする風潮に向けられています。
「この開発者は、ネットのスコア稼ぎのために叩かれている。とても腹立たしい」とし、問題の本質は「どこの国の誰か」ではなく、人気ツールを「一人で支えていること」だと強調しています。
データが示す現実
Josh氏は、オープンソースのメンテナー構造をデータで可視化しています。ecosyste.msによると、約1,180万件のプロジェクトのうち700万件以上が単独メンテナーによって維持されており、NPMでも、月間100万ダウンロード以上の人気パッケージの約半数が一人で維持されているとのことです。1億ダウンロード以上のツールでも、単独メンテナーの例が存在するとされています。
この事実は、「人気だから安全」「多人数で管理されているはず」と思い込んでいる幻想を打ち砕くものとなっています。
本当のリスクとは何か
Josh氏は、「サプライチェーンのリスクは、過小評価され、過労で報酬もない個人に依存していることだ。国籍は関係ない」と指摘し、セキュリティや信頼性を語る上で、国籍ベースの議論がいかに表層的かを浮き彫りにしています。
「怒りを行動に変えるべきだ」と語っていますが、明確な解決策は提示されていません。彼自身も「難しい問題に簡単な答えはない」と認めています。
Hacker Newsでもこのブログ記事に関する議論が行われており、「ロシアだから危険」「中国だから排除」といった単純化は、過去の米国の行動とのダブルスタンダードを生み、国家と個人を切り分ける視点が必要だとの指摘も行われています。また、
編集後記:怒りを構造化し、問いを深める
このブログ記事は、人気のオープンソースツールの大半が一人の人間によって維持されているという現実をつきつけています。 リスクは国籍ではなくこのような構造にあり、顧みられていない個人開発者を支援する体勢を整えていくことが求められています。