オープンソース「cURL」の作者、大企業から「24時間以内にこの質問に答えるように」との無礼なメールを受け取る
オープンソース「cURL」の作者に届いた大企業からのメールの内容が無礼だと話題に。cURLの作者は、問題の背景にオープンソースを理解していないユーザーの存在があると指摘している。
この記事は新野淳一氏のブログ「Publickey」に掲載された「オープンソースcURLの作者、某大企業から「24時間以内にこの質問に答えるように」との無礼なメールを受け取る」(2022年1月26日掲載)を、ITmedia NEWS編集部で一部編集し、転載したものです。
コマンドラインからさまざまなプロトコルでデータ転送を実行できる「curl」コマンド(以下cURL)は、多くのITエンジニアにとって欠かせない、非常に便利なツールです。
cURLはオープンソースで開発されているソフトウェアです。先日その作者であるDaniel Stenberg氏に、某大企業からオープンソースを全く理解していないとみられる大変無礼なメールが届いたとして話題になっています。
メールの宛名となっている「Haxx」は、cURLのトップスポンサーとして名前が掲載されている開発者の集まりです。
メールの送信元となる会社名や製品名はStenberg氏の判断で黒塗りになっていますが、フォーチュン500に入る大企業とのこと。
メール本文の1行目から2行目にはこうあります「あなたがこのメールを受け取ったのは、■■があなたが開発した製品を採用しているためです。私たちはこのメールをあなたが受け取ってから24時間以内に、お読みいただいた上でご返答いただくよう要求します」。
本文に続いて、先日脆弱性が発見されて話題となったLog4jに関係する8つの質問が連なっています。
つまり、まるで商用製品を購入した顧客が開発元にサポートを要求するのと同じことを、オープンソースの作者に要求しているのです。
メールの発信者はcURLがオープンソースであることを知らないのでしょう。
オープンソースを理解していないユーザーの存在
Stenberg氏は、このことについて記したブログ「LOGJ4 SECURITY INQUIRY – RESPONSE REQUIRED」で次のように書いています。
I think maybe this serves as a good example of the open source pyramid and users in the upper layers not at all thinking of how the lower layers are maintained.
これは、オープンソースのピラミッドの良い例だと思う。上位層にいるユーザーは、下位層がどのようにメンテナンスされているかについて全く考えが及ばないのだ。
Stenberg氏が指摘するように、オープンソースのことを理解せずに使っているユーザーが多数存在することは事実です。
つい先日も、オープンソースのライブラリであるfaker.jsの作者が、無料で使っている企業のためにただ働きするのはもういやだ、というメッセージとともにライブラリの内容を破壊する、といった事件が起きていました。
OSS「faker.js」と「colors.js」の開発者、自身でライブラリを意図的に改ざん 「ただ働きはもうしない」 - ITmedia NEWS
オープンソース開発者のことを顧みないユーザーが多いことに業を煮やした末の事件でしょう。
3年前には米Redisや米MongoDBなどのオープンソース開発企業が大手クラウドベンダに反発する事態も起きました。
Redis、MongoDB、Kafkaらが相次いで商用サービスを制限するライセンス変更。AWSなどクラウドベンダによる「オープンソースのいいとこ取り」に反発
オープンソースが普及し、多くの企業やクラウドがユーザーとしてその成果を享受する一方で、開発者に対して何らかの価値をどうやって還元するべきなのかは、いまだにユーザーとオープンソース開発者のあいだですっきりと解決できない大きな課題となっています。
今回もcURLの件も、ユーザー側のオープンソースに対する無理解に起因した事象といえます。
ちなみにStenberg氏はすぐさま「サポート契約を結んでいただければ、喜んですべて速やかにお答えしますよ」と返したそうです。
関連記事
- OSS「faker.js」と「colors.js」の開発者、自身でライブラリを意図的に改ざん 「ただ働きはもうしない」
OSS「colors.js」と「faker.js」の開発者であるマラック・スクワイアーズ氏が、それらの最新バージョンに無限ループ処理を仕込むなど、意図的な改ざんを加えたバージョンをリリースしていたことが分かった。 - Microsoft、オープンソースプロジェクトに1年分のAzureクレジットを提供
米Microsoftが、オープンソースのプロジェクトにMicrosoft Azureの無償クレジットを提供する「Azure credits for open source projects」の開始を発表した。提供理由は「私たちが参加し、依存しているオープンソースのエコシステムへの還元」としている。 - 「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
Javaで使われるログ出力ライブラリ「Apache Log4j」に特定の文字列を送ることで、任意のリモートコードを実行できるようになる(Remote Code Execution, RCE)、ゼロデイ脆弱性があることが分かった。Java開発製品の広範囲に影響するとみられる。 - 世界のWebサーバの3分の1に影響? Javaライブラリ「Log4j」の脆弱性、JPCERTらが仕組みと対策を解説
JavaライブラリApache Log4jで見つかった脆弱性について、JPCERT/CCが攻撃の仕組みと対策方法を公開し注意を促した。 - LINE、オープンソースソフト「LINE FIDO2 Server」公開 パスワード不要でログイン可能
LINEがスマートフォンやPCの指紋認証や顔認証などを用いることでパスワード不要でログイン処理を可能にする標準技術「FIDO2」や「WebAuhn」に対応したサーバ「LINE FIDO2 Server」をオープンソースで公開。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.