OSSは「投げ銭」で維持できない──巨大テック企業に突きつけられた請求書

7.7兆ドルの時価総額を持つ企業群が、自分たちの利益の源泉であるオープンソースに出した金額が1,250万ドル。年収10万ドルに換算すれば16セント。この数字が、すべてを物語っている。

オープンソースの「無料」が限界を迎えている

商用ソフトウェアの97%以上がオープンソースの依存関係を含んでいる。Synopsysの2025年版OSSRAレポートが示す現実だ。Android、Kubernetes、AWSのインフラ、OpenAIの基盤――あらゆるものがオープンソースの上に建っている。

にもかかわらず、そのコードを書き、直し、守り続ける人々はほとんど報われていない。2024年のTideliftメンテナー調査では、メンテナーの60%が無報酬のまま活動していることが明らかになった。報酬を得ている人の中でも、年間1,000ドル以上を稼いでいるのはわずか26%。マクドナルドで「ポテトもいかがですか」と聞くほうが、よほど実入りがいい。

そして60%が、メンテナンス活動からの撤退を実行済みか検討中だと答えている。正直なところ、驚くべきは辞めた割合ではなく、まだ続けている人が40%もいることのほうだ。

1,250万ドルの「寄付」が意味するもの

Linux Foundationが抱える助成金の総額は1,250万ドル。Anthropic、AWS、GitHub、Google、Microsoft、OpenAIなどが3月18日（日本時間）に発表した共同出資だ。資金はAlpha-OmegaプロジェクトとOpenSSFを通じて、オープンソースのセキュリティ強化に充てられる。

Linux Foundation Announces $12.5 Million in Grant Funding from Leading Organizations to Advance Open Source Security

Linux Foundation Announces $12.5 Million in Grant Funding from Leading Organizations to Advance Open Source Security

The Linux FoundationThe Linux Foundation

1,250万ドルと聞けば大金に思えるかもしれない。だが、これを出した企業群の時価総額を合わせると約7.7兆ドルに達する。比率にすれば0.00016%。個人の年収に置き換えれば、10万ドル稼いでいる人が16セントを寄付したのと同じだ。「善意」と呼ぶには、あまりに桁が足りない。

しかも、この資金は「メンテナーへの報酬」ではなく「AIが生成した低品質な脆弱性レポートへの対処」が主目的だ。つまり、AIで問題を生み出した企業が、その問題の後始末にだけ金を出している構図になる。

AIスロップが「もう一つの搾取」になっている

cURLの創設者ダニエル・ステンバーグは、この状況を「千のスロップによる死」と表現した。

cURLは世界中のデバイスに搭載されるファイル転送ツールだ。そのバグバウンティプログラムには、AIが自動生成した「もっともらしいが中身のない」脆弱性レポートが殺到した。2025年後半には、提出されたレポートのうち本物の脆弱性はわずか5%にまで落ち込んだ。20件中19件がゴミだった計算になる。

結果、ステンバーグは2026年1月末でバグバウンティプログラムを終了した。7人のセキュリティチームが、無報酬のまま偽レポートの選別に消耗し続ける状況は持続不可能だった。

OpenSSFの報告でも、バグバウンティへの提出のうち本物の脆弱性は約5%に過ぎないとされている。AIを使えば誰でも「それらしい」レポートを量産できる。だが、それを検証する側は依然として人間だ。AIが1秒で生成したものを、人間が数時間かけて精査して捨てる。この非対称性こそが、メンテナーを殺している。

パッケージレジストリという「見えないインフラ」の危機

問題は個々のメンテナーだけにとどまらない。Maven Central、PyPI、npm、crates.io――これらのパッケージレジストリは、年間で数兆回のダウンロードを処理している。現代のソフトウェア開発そのものを支える血管だ。

SonatypeのCTOブライアン・フォックスによれば、JavaのパッケージレジストリであるMaven Centralは、数千億回のダウンロードを捌いてきたにもかかわらず、資金もスタッフもインフラも「ギリギリの状態」で運営されている。

さらに深刻なのは、その負荷の構造だ。Maven Centralへのリクエストの82%は、全IPアドレスの1%未満から発生している。トラフィックの約80%は大手クラウドプロバイダーのインフラが占める。つまり、巨大テック企業がビルドやテストのたびに公共のレジストリを叩き続けているのに、自前のミラーすら用意していない。

この構造が変わりつつある。今後、大量のコードとアーティファクトを継続的にダウンロードする商用ユーザーには、アクセス料金が求められるようになる見通しだ。コード自体は引き続き無料。だが、インフラへのただ乗りには終止符が打たれようとしている。

「善意の寄付」から「ビジネスコスト」へ

一部の組織はすでに動き出している。HeroDevsは2,000万ドルのオープンソース持続可能性基金を立ち上げ、EOL（サポート終了）を迎えた重要コンポーネントのメンテナーに直接資金を提供している。

Sentryはさらに踏み込んだ。自社の依存関係ツリーを体系的にマッピングし、そのスタックを支えるメンテナーに年間数十万ドルを支払っている。「還元」を語るだけでなく、実際に小切手を切る数少ない企業だ。

だが、こうした動きはまだ例外だ。慈善事業としてのオープンソース支援では、構造的な問題は解決しない。

Linux Foundationは商用オープンソースプロジェクトを管理し、Apache Foundationは傘下のプログラムを監督し、OSIはライセンスを調整している。だが、「ビッグテックから個々のプログラマーへ、持続可能な支払いの仕組みを作る」ことを使命とする組織は、まだ存在しない。

問われているのは「公平さ」ではなく「持続可能性」だ

The Registerのベテランジャーナリスト、スティーブン・J・ヴォーン＝ニコルズはこの問題を端的にこう切った。公平さを求めるのはやめろ、と。チップ入れに頼る運営では何も維持できない。

必要なのは、オープンソースへの支払いを善意のギフトから「ビジネスの固定費」に変えることだ。コードを使うなら、インフラを支える義務も引き受けろ――それがこの主張の核心だ。

この主張には一理ある。だが、反論も成り立つ。レジストリへの課金やアクセス制限は、オープンソースの本質である「自由なアクセス」と矛盾しないのか。新興国の開発者や個人の趣味プログラマーが締め出されるリスクはないのか。「無料で使えるからこそ、これほど普及した」という歴史的事実を忘れてはならない。

とはいえ、現状が持続不可能であることも事実だ。メンテナーが燃え尽き、レジストリが資金難に陥り、放置されたコンポーネントに脆弱性が蓄積する。OSSRAレポートによれば、監査対象のオープンソースコンポーネントの91%が過去2年間メンテナンスされていなかった。

インターネットの基盤を支えるコードが、善意と使命感だけで維持される時代は終わりに近づいている。問題は「誰が払うべきか」ではなく、「払わなかったとき、何が壊れるか」だ。その答えは、たぶん「すべて」だろう。

参照元

• Linux Foundation - $12.5M助成金発表プレスリリース

他参照

• The Register - Open source isn't a tip jar – it's time to charge for access

#オープンソース #OSS #LinuxFoundation #OpenSSF #cURL #AIスロップ #オープンソースセキュリティ #ソフトウェア開発 #情報の灯台