ITmedia NEWS > ネットの話題 >
セキュリティ・ホットトピックス

オープンソース「cURL」の作者、大企業から「24時間以内にこの質問に答えるように」との無礼なメールを受け取る

» 2022年01月26日 18時33分 公開
[新野淳一ITmedia]

この記事は新野淳一氏のブログ「Publickey」に掲載された「オープンソースcURLの作者、某大企業から「24時間以内にこの質問に答えるように」との無礼なメールを受け取る」(2022年1月26日掲載)を、ITmedia NEWS編集部で一部編集し、転載したものです。

 コマンドラインからさまざまなプロトコルでデータ転送を実行できる「curl」コマンド(以下cURL)は、多くのITエンジニアにとって欠かせない、非常に便利なツールです。

 cURLはオープンソースで開発されているソフトウェアです。先日その作者であるDaniel Stenberg氏に、某大企業からオープンソースを全く理解していないとみられる大変無礼なメールが届いたとして話題になっています。

 メールの宛名となっている「Haxx」は、cURLのトップスポンサーとして名前が掲載されている開発者の集まりです。

 メールの送信元となる会社名や製品名はStenberg氏の判断で黒塗りになっていますが、フォーチュン500に入る大企業とのこと。

 メール本文の1行目から2行目にはこうあります「あなたがこのメールを受け取ったのは、■■があなたが開発した製品を採用しているためです。私たちはこのメールをあなたが受け取ってから24時間以内に、お読みいただいた上でご返答いただくよう要求します」。

 本文に続いて、先日脆弱性が発見されて話題となったLog4jに関係する8つの質問が連なっています。

 つまり、まるで商用製品を購入した顧客が開発元にサポートを要求するのと同じことを、オープンソースの作者に要求しているのです。

 メールの発信者はcURLがオープンソースであることを知らないのでしょう。

オープンソースを理解していないユーザーの存在

 Stenberg氏は、このことについて記したブログ「LOGJ4 SECURITY INQUIRY – RESPONSE REQUIRED」で次のように書いています。

 I think maybe this serves as a good example of the open source pyramid and users in the upper layers not at all thinking of how the lower layers are maintained.

 これは、オープンソースのピラミッドの良い例だと思う。上位層にいるユーザーは、下位層がどのようにメンテナンスされているかについて全く考えが及ばないのだ。

 Stenberg氏が指摘するように、オープンソースのことを理解せずに使っているユーザーが多数存在することは事実です。

 つい先日も、オープンソースのライブラリであるfaker.jsの作者が、無料で使っている企業のためにただ働きするのはもういやだ、というメッセージとともにライブラリの内容を破壊する、といった事件が起きていました。

 OSS「faker.js」と「colors.js」の開発者、自身でライブラリを意図的に改ざん 「ただ働きはもうしない」 - ITmedia NEWS

 オープンソース開発者のことを顧みないユーザーが多いことに業を煮やした末の事件でしょう。

 3年前には米Redisや米MongoDBなどのオープンソース開発企業が大手クラウドベンダに反発する事態も起きました。

 Redis、MongoDB、Kafkaらが相次いで商用サービスを制限するライセンス変更。AWSなどクラウドベンダによる「オープンソースのいいとこ取り」に反発

 オープンソースが普及し、多くの企業やクラウドがユーザーとしてその成果を享受する一方で、開発者に対して何らかの価値をどうやって還元するべきなのかは、いまだにユーザーとオープンソース開発者のあいだですっきりと解決できない大きな課題となっています。

 今回もcURLの件も、ユーザー側のオープンソースに対する無理解に起因した事象といえます。

 ちなみにStenberg氏はすぐさま「サポート契約を結んでいただければ、喜んですべて速やかにお答えしますよ」と返したそうです。

Copyright © ITmedia, Inc. All Rights Reserved.