English 
オープンソース・ソフトウェアは、常に奇妙な駆け引きで動いてきました。.
何百万もの企業が利用しています。世界最大級の企業も利用しています。クラウドプラットフォーム全体がその上に構築されています。.
しかし、重要なプロジェクトの多くは、驚くほど少人数で維持されています。.
一握りの開発者の場合もあります。.
一人の場合もあります。.
IBMとレッドハットは、特にAIが登場した現在、このモデルを維持するのはますます難しくなっていると考えています。.
IBMとRed Hatは、人工知能と大規模なエンジニアリング・サポートを使用して、オープンソースのエコシステム全体の脆弱性を特定し修正することを目的とした新しいイニシアチブであるProject Lightwellを発表しました。この取り組みを支援するため、IBMとRed Hatは今後数年間で$5億ドル(およそ8000億円)を投資するとしています。.
ほとんどの人が目にすることのないものに対して、これは非常に大きな数字です。.
でも、そこがまたポイントなんです。.
こちらもお読みください: インフォポートがスパイスファクトリーに参画し、単なるソフトウェアにとどまらないロジスティクス技術を推進
オープンソースに新たな問題をもたらすAI
ソフトウェア開発者にとって、AIは生産性を高めるものです。.
コードはより速く書かれます。バグの発見も早くなります。かつては何日もかかっていたセキュリティ分析も、今でははるかに速く行えるようになりました。.
問題は、オープンソースのメンテナがその結果に対処していることです。.
より多くの開発者がAIツールを使ってコードを検査し、脆弱性を特定するにつれて、バグ報告の量は増え続けています。セキュリティの発見がより早く届くようになりました。パッチ要求は山積み。.
バグを見つけることは一つのことです。.
それを修正するのはまた別の話です。.
多くのオープンソース・プロジェクトは、増大する作業負荷に対処するだけの十分なメンテナーを抱えていません。.
そのため、世界中の企業が影響を受けたソフトウェアを使い続けている間、脆弱性が解決されないまま放置されるという状況が生じます。.
IBMとレッドハットは、この問題は悪化の一途をたどっていると考えているようです。.
プロジェクト・ライトウェルの実際
興味深いのは、プロジェクト・ライトウェルが別のセキュリティー・スキャナーとして発表されているのではないということです。.
業界にはすでにたくさんあります。.
その代わりに、IBMとレッドハットは自分たちを中間に位置づけたいと考えています。.
各社は稼働中のオープンソースコンポーネントに関する情報を提供します。AIシステムは潜在的な脆弱性の特定を支援します。その後、エンジニアがこれらの発見をレビューし、ソフトウェアを保守している人々と直接連携します。.
目的は、企業に問題があると伝えることだけではありません。.
目的は、修正を元のプロジェクトにマージするのを助けることです。.
それは違うアプローチです。.
多くのセキュリティ・ツールは、検知した時点で止まってしまいます。プロジェクト・ライトウェルは、修復をさらに推し進めようとしています。.
これが大規模に機能するかどうかはまだわかりませんが、各社が脆弱性報告の枠を超えて考えていることは明らかです。.
2万人のエンジニアを無視するのは難しい
この発表の中で際立っていたことがあります。.
IBMとレッドハットは、より広範なイニシアチブの一環として、2万人のエンジニアを配置する予定です。.
膨大な数です。.
これは、各企業がオープンソースセキュリティをサイドプロジェクトやマーケティング活動として扱っていないことを示唆しています。.
彼らはそれをインフラとして扱っています。.
それが、おそらくここでの大きな話題です。.
何年もの間、オープンソースのセキュリティは、しばしば裏方の仕事と見なされてきました。必要ではあっても、開発者サークルの外で議論されることはほとんどありませんでした。.
それが変わりました。.
今日、オープンソースコンポーネントの脆弱性は、銀行、病院、メーカー、政府機関、クラウドプロバイダーに同時に影響を与える可能性があります。.
賭け金は以前よりずっと高くなっています。.
Javaで始める
プロジェクト・ライトウェルは、MavenとJavaのエコシステムから始まります。.
その選択は驚くことではありません。.
Javaは依然として企業技術に深く組み込まれています。大企業は今でもJavaフレームワークやライブラリで無数のビジネスアプリケーションを動かしています。金融機関、通信会社、政府機関は、Javaに依存し続けています。.
それはまた、長年にわたってセキュリティ上の頭痛の種を経験してきたエコシステムでもあります。.
そこからIBMとRed Hatは、PyPI、npm、Goを含む他の主要なリポジトリに拡大する予定です。.
つまり、世界で最も広く使われているソフトウェアのエコシステムをターゲットにしているのです。.
日本企業が注目すべき理由
この発表はIBMとレッドハットからのものかもしれませんが、その影響はこの2社にとどまりません。.
日本の企業はオープンソースソフトウェアにこれまで以上に依存しています。.
クラウド移行プロジェクトはそれに依存しています。.
AIプロジェクトはそれに依存しています。.
デジタルトランスフォーメーションのイニシアチブはそれに依存しています。.
テクノロジー・ビジネスを自認していない企業でさえ、オープンソースのコンポーネントをベースにしたソフトウェア・スタックを使用していることがよくあります。.
課題は、多くの組織が、何かが壊れるまで、実際にどれだけのオープンソースを使用しているかわからないということです。.
それは、この業界が繰り返し抱えている問題のひとつです。.
脆弱性の出現。企業は、影響を受けるコンポーネントがシステム内のどこに存在するかを特定するために奔走。調査に数週間。.
このような現実から、サプライチェーンのセキュリティは大きな関心事となっています。.
オープンソースのセキュリティがビジネスの課題に
プロジェクト・ライトウェルが興味深いのは、業界全体で起こっているより広範な変化を反映していることです。.
オープンソースのセキュリティは、もはや開発者だけの問題ではありません。.
ビジネスリスクになりつつあります。.
エグゼクティブは注目しています。.
取締役会は注目しています。.
規制当局も注目しています。.
この話題は、コードの品質だけでなく、運用の回復力にも及んでいます。.
IBMとRed Hatは、AIがその複雑さの一部を管理するのに役立つことに賭けているようです。メンテナに取って代わるのではなく、増え続けるセキュリティ作業の量に追いつくために、圧倒的に多いコミュニティを支援することで。.
プロジェクト・ライトウェルが、両社が思い描くような産業ハブになるかどうかは、まだ未知数です。.
しかし、ひとつだけ明らかになりつつあることがあります。.
ソフトウェアの世界はオープンソースに大きく依存しています。AIブームにより、その依存度はさらに高まっています。そして業界は、長年依存してきた基盤の保護にようやくお金を使い始めています。.
日本語