Linux Daily Topics

オープンソースのライセンス変更は「単一障害点のリスク」 ―Linux FoundationからHashiCorpへのアンサーブログ

「もしあなたが朝起きてすぐに、LinuxカーネルがBUSL(Business Source License)のもとで今後供与されることになるというニュースを目にしたらどうしますか」―10月17日付のLinux Foundationのブログはこんな出だしで始まっている。投稿者はLinux Foundationのプロジェクト&リーガル部門でシニアバイスプレジデントを務めるMike Dolan、オープンソースライセンスの専門家としても知られており、Linux Founationの数々のプロジェクトを法務面から支えてきたプロフェッショナルである。

このDolanのポストは、英国のITニュースメディア「The Stack」に10月16日付で掲載されたHashiCorp CEOのDave McJannetのインタビュー内容に対するアンサーブログと見られている。McJannetはこのインタビューでHashiCorpがIaCツール「Terraform」をMozilla Public LicenseからBUSLに変更したことの正当性を主張、加えてLinux FoundationがTerraformから「OpenTofu」をフォークさせたこと「オープンソースのイノベーションにおいて悲劇的」と言い切っている。

同インタビューでのオープンソースライセンスに関するMcJannetの主張の概要は以下の通り。

  • コミュニティはイノベーションをどう守っていくつもりなのか、そのことをあらためて考えない限り、シリコンバレーにもうオープンソース企業は存在しなくなる
    • →だからHashiCorpのライセンス変更の方針は正しい
  • オープンソース界隈は今回のライセンス変更に反発したが、HashiCorpの顧客からは「すばらしい」⁠もっと早くやるべきだった」と好意的なフィードバックをもらっているし、大手クラウドベンダとも話はついている
    • →オープンソースモデルは今の市場のインセンティブにあわせて変化すべき
  • Linux FoundationがOpenTofuを立ち上げたことには深刻な疑問を覚えている。もしLinux FoundationがOpenTofuに居場所を与えるつもりなら、オープンソースのイノベーションにとって悲劇的。もう一度言うけど、そんなことがまかり通るならシリコンバレーからオープンソース企業はなくなってしまう。なぜなら顧客企業の信頼を獲得できなくなるから
    • →ライセンス変更は顧客企業の信頼を獲得するための戦略

日常的に使っていたオープンソースが突然BUSLに変更されるのは“おとり商法に騙されたようなもの”

このオープンソース界隈への煽りとも受け取られかねないMcJannetのコメントに、Linux Foundationが黙ってはいなかった。以下はDolanによる反論の抜粋である。

  • 朝起きて「LinuxカーネルがBUSLにライセンス変更」なんてニュースを目にしたらどうする? Linuxが動いているところすべて、ライセンサーの意向通りに使われているかを評価しなければならないだろう。Linuxカーネルプロジェクトは事実上終わりとなる
    • →日常的にオープンソースとして使っていたものが突然BUSLに変更されたのなら、おとり商法(bait and switch)に騙されたようなもの
  • (HashiCorpのように)オープンソースライセンスを変更した企業はよく「テック企業に自分たちのビジネスを奪われないようにする必要がある」と主張するが、自分たちのプロダクトが何千ものオープンソースプロジェクトに依存していることは棚に上げている
    • →OpenSSLやCurlが明日プロプライエタリになったらいったい彼らはどうするのか
  • ライセンス変更はあらゆるプロジェクトにおける単一障害点(SPOF)のリスクに相当する
    • →だからTerraformのような重要なソフトウェアは真のオープンソースライセンスのもとで、オープンソースプロジェクト(OpenTofu)として運営されなければならない
  • もちろん、ソフトウェアの著作権所有者は好きなライセンスのもとで提供する権利がある。しかし、最初からBUSLで提供するのではなく、もともとオープンソースとして出してユーザの信頼を勝ち得たあとに、ユーザの足元を見るかのようにしてライセンスを変更するのはいかがなものか
    • ⁠一度だまされたのならは恥ずべきは相手、二度だまされたのなら恥ずべきは自分(fool me once, shame on you; fool me twice, shame on me⁠⁠」という古いことわざが思い出される
  • オープンソースのライセンス変更というリスクを軽減するには、自分たちがどのオープンソースに依存しているかをまず知るべき、そしてリスク管理ツール(OpenChainやSPDXなど)を使うのもよい。ちなみに(Linux Foundationのような)コミュニティフォーカスな財団が管理するオープンソースプロジェクトでライセンス変更が起こったことはこれまでにない
    • →重要なオープンソースプロジェクトの多くはApache Software FoundationやEclipse Foundaitonのもとで運営されているので、ライセンス変更のリスクはほぼない
  • もう一度言うが、LinuxカーネルがBUSLにライセンス変更されることは絶対にない

こちらもMcJannetに負けず劣らず、かなり強い言葉を使って反論し、オープンソースライセンスの変更にまつわるリスクを語っている。

オープンソースとビジネスの関係は長いこと議論されてきたテーマだが、Terraformというマルチクラウド環境でひろく普及したソフトウェアがBUSLに変更されてしまったことで、⁠オープンソースとビジネス」⁠オープンソースのリスク」というテーマにあらためて注目が集まりつつある。社会的影響が大きいソフトウェアはオープンソースであるべきなのか、その場合、開発企業のモチベーションを保つにはどんなアプローチが有効なのか、オープンソースライセンスの変更にユーザ企業はどう対応すべきか ―いまの時代に合ったオープンソースとの向き合い方が問われているのかもしれない。

おすすめ記事

記事・ニュース一覧