一部の強い個性を持つ人物は、常にオープンソースプロジェクトの雰囲気を測るバロメーターとして機能してきた。その中には、Linus Torvaldsや、curlの創業者であり現在もリードデベロッパーであるDaniel Stenbergが含まれる。彼らは定期的に時代の話題について意見を表明している。AIを活用したセキュリティ脆弱性の「脆弱性黙示録（Vulnocalypse）」を受けて、彼は次のように述べている。「オープンソースプロジェクトへの貢献は、健康リスクになりつつある。このままではいけない。参加の欠如がオープンソースの精神を危険にさらしているのだ。」

ステンバーグ（Stenberg）のAI支援デバッグに対する見解は微妙であり、LLMの進化を正確に反映している。「AIスロップ（AI Slop）」への苦情とcurlバグ報奨金プログラムの一時的な中止の後、プロジェクトは現在「高品質な混沌」の段階にある。寄せられるバグ報告は明らかにナンセンスではなく、詳細で非常に徹底している。開発者はAIが生成したセキュリティレポートのレビューに日々を費やしている。彼はそれぞれについて読み、理解し、必要ならさらなる措置を取らなければならない。平均して1日1件、つまり2024年の5倍の数である。

これにより、プロジェクトのその他のさらなる発展のための時間はほとんど残されず、ステンバーグ（Stenberg）の健康に悪影響を及ぼしている。彼の妻は、スウェーデン人（the Swede）がブログに書いているように、 は、彼の長時間労働と仕事と余暇の不均衡について初めて懸念を表明した。curl チームの他のメンバーも同様の問題を経験しており、Stenberg は「私はチームメイトのことが心配だ」と述べている。プレッシャーはかつてないほど高まっている。「他のすべてを覆い尽くす優先度の高い作業の雪崩」が開発者たちに襲いかかっている。

ステンバーグは、リーナス・トーバルズと同じく、自らを「終身の慈悲深い独裁者」と称しており、概要を説明した。 2024年にcurlに取り組む彼の原則：「宇宙が依存できる堅牢な製品を出荷せよ」とそこに書かれています。そして：「セキュリティ第一の姿勢を維持せよ」。ステンバーグはこれらと他の8つの原則で測られることを望んでいます – そしてそれらは文字通り彼と彼のチームを病気にしています。なぜなら、curlへの仕事に対する彼らの良心と誇りが、単に無視するのではなく報告を処理することを強いるからです。

数十億の受益者からの数十億はどこにあるのか？

一方、ステンバーグは、自社製品でcurlやlibcurlを使用している企業からほとんど無視されていると感じている。その数はほとんど理解不能で、チームはcurlのインストールベースを300億のアクティブインストールと推定している。ファイアウォールからロボット掃除機、ビデオゲームコンソールに至るまで、この転送ライブラリは世界中のほとんどの世帯で動作している。

これは記録破りです – そして、この記録プロジェクトには何人のスポンサーがいるのですか？ 23人。Google、Meta、Apple、Microsoftなどのような数兆ドル規模の巨大テクノロジー企業はその中に含まれているのでしょうか？残念ながら違います。代わりに、価値50億ドルの企業であるElasticがゴールドスポンサーとなり、毎月500ドルから1000ドルをプロジェクトに送金しています。AirBNB（市場価値780億ドル）は毎月100ドルから500ドルを送金しており、これはイギリスの清掃会社が支払う金額と同じです。

また、OpenAIやAnthropicといったAI企業の兆候は見られず、curl上でセキュリティモデルMythosを公開するという彼らの寛大な提案も、明らかに同社によって間接的にしか実行されなかったようだ。一方、「Vibe Coding」は多くのオープンソースプロジェクトから物質的基盤を奪いつつある。科学者たちが明らかにしたように。

OpenCollective 上で、curl プロジェクトには、一度きりまたは毎月の寄付を行う約 950 人の支援者がおり、さらに GitHub 上に 250 人がいます。GitHub の寄付者は主に個人であり、Fediverse のオープンソース界隈に頻繁に出入りする人なら多くのアバターを見覚えがあるでしょう。ここでは、多くのボランティアが他のボランティアに寄付しています。大手企業は依然として姿を見せていません。

しかし、スポンサーページは現実の完全な姿ではありません。Daniel Stenbergが私に次のように説明しています。「私はwolfSSLに雇われてcurlにフルタイムで取り組んでいます。その理由は、curlのサポートやその他のcurl関連活動に対して料金を支払ってくれる顧客がいるからです。そして、それらの顧客は、間接的にcurlプロジェクトにもスポンサーを提供していると言っても過言ではないと思います。」つまり、Microsoftのような企業もこの間接的なスポンサーシップの機会を利用できる可能性があります – wolfSSLの顧客リストは公開されていません。

それでもまだ不十分だと、スタンバーグ氏は自身のブログでこう述べている。「もっと多くの企業が資金提供に協力してくれることを望みます」。しかし、状況がエスカレートし続けているにもかかわらず、彼は考え方の変化を信じていない。チームは、スタンバーグ氏がバグ報告の殺到を「津波」と表現する中、救命ボートも見えないまま「泳ぐ」しかなかった。

彼は、(セキュリティ上の)重大なエラーによって「世界をしばらく燃え上がらせた」プロジェクトをほとんど羨ましく思っている。なぜなら、それらはその後注目を集め、場合によっては資金援助も受けたからだ。おそらく彼が言っているのはHeartbleed? 2014年のOpenSSLの壊滅的なセキュリティ脆弱性は、プロジェクトの財政と人員状況にスポットライトを当て、顕著な改善をもたらしました。しかし、curlで同様のエラーが発生し、インターネット経由で悪用される可能性がある場合、その影響はどのようなものになるでしょうか？300億の潜在的に脆弱なデバイスは確かに多いです。私の家庭だけでも、curlはおそらく50回程度存在しています。

Developer Hugs as the New Balcony Applause?

ダニエル・ステンバーグ(Daniel Stenberg)は、サポート不足に関する不満を抱えているのは決して一人ではない。最近終了したRIPE92会議では、最も広く使われているオープンソースDNSサーバー3つ（バインド(Bind)、アンバウンド(Unbound)、パワーDNS(PowerDNS)）の開発者たちが次のように呼びかけました：「あなたのOSSメンテナーをハグしよう」 – または[サポート]契約で彼らを支援する。今や（仮想の）ハグは贖罪となり、過酷な状況に置かれたソフトウェア開発者への「バルコニーからの拍手」となったのか？それでは不十分だ。さもなければ、オープンソース、ひいては私たちのデジタル社会の技術的基盤は存続できない。

現在のエスカレーションは、数十年にわたって存在してきた問題に再び焦点を当てている。企業が自らのビジネス成功の基盤としてオープンソースを利用していることだ。一部の企業、例えばバンブーラボ(Bambu Labs)のように、ときに公然と無視するオープンエコシステムの慣習やルールを、自社のビジネスモデルに都合が良い場合に限って。そしてAI企業は、そのLLM（大規模言語モデル）がプロジェクトにエラーメッセージを氾濫させており、彼らが基本的に自己中心的であることを十分に示してきた。

もちろん、寄付をする義務はない。「自由な配布」は結局のところ、オープンソースソフトウェアの特徴の一つなのである。（OSS）。しかし、私は企業にも支援を提供する義務があると信じています。それは金銭的にも、あるいは開発者の時間を通じた思想的にもです。したがって、オープンソースのすべての受益者が参加する時が来ました。なぜなら、他のボランティア活動と同様に、これも参加によって成り立ち、それによってのみ存続するからです。

（cku）