ハクソク

世界を動かす技術を、日本語で。

ディスコースはクローズドソースにはならない

18時間前原文(blog.discourse.org)

概要

  • Cal.comがオープンソースを終了し、セキュリティ上の理由でコードを非公開化
  • AIの進化で脆弱性発見が高速化し、透明性がリスクと認識される現状
  • Discourseは引き続きオープンソースを維持する方針を明言
  • クローズド化は本質的なセキュリティ対策ではなく、競争・ガバナンス要因が大きいと指摘
  • AI時代でもオープンソースの防御力とコミュニティの価値を強調

Cal.comのクローズド化発表とその理由

  • Cal.comがオープンソースを終了し、今後はクローズドソース製品へ移行
  • AIによる自動脆弱性スキャンがSaaS企業にとって大きな脅威となっている現状
  • コードの透明性が「露出」に変わり、攻撃者がAIで簡単に悪用できるリスク増大
  • 業界の変化とAIの進化スピードへの危機感

Discourseの立場とオープンソース継続宣言

  • Discourseは設立以来、一貫してGPLv2ライセンスでオープンソースを継続
  • 今後もソースコードの公開方針を変更しないことを明言
  • オープンソースのままでも、AIを活用して脆弱性を積極的に発見・修正する運用
  • AIセキュリティツール(GPT-5.3 Codex, GPT-5.4, Claude Opus 4.6等)で多くの潜在的脆弱性を発見
  • OpenAIAnthropicもAIによる脆弱性発見のリスクを認識し、慎重に新モデルを公開

クローズドソースの議論と反論

  • Cal.comの主張:「攻撃者がAIでコードを解析し悪用するので、コードを隠すべき」
    • 一部真実だが、AIはバイナリやAPIからも脆弱性を発見可能
    • ウェブアプリはクライアント側のコードやAPIが常に公開されており、完全な隠蔽は不可能
    • クローズド化は**「守り手」**の数を減らすだけで、攻撃面の露出は大きく変わらない
  • オープンソースの強み:世界中の攻撃者・防御者・研究者・開発者による継続的な監査と強化
  • 透明性はリスクをゼロにはしないが、より多くの防御者が早期発見・修正に関与できる利点

AI時代のセキュリティとオープンソースの優位性

  • AIによる脆弱性発見が高速・大量に可能となり、攻撃者・防御者双方が利用
  • オープンソースであれば、社内チーム・外部貢献者・独立研究者も同じツールで防御可能
  • クローズドソースの場合、攻撃者は外部から解析し続ける一方で、防御側の人数は制限される
  • DiscourseではAIスキャンの結果を毎リリースに反映し、迅速なパッチ配布体制を構築
  • コード公開による「見られる前提」の危機感が、積極的なセキュリティ対策を促進

クローズド化の本当の理由とビジネス的側面

  • 実際のクローズド化動機は競争圧力ガバナンス負担
    • コードが公開されていると、競合他社が容易に模倣・フォークできるリスク
    • オープンソースコミュニティからの意見・要望・フォーク圧力への対応疲弊
    • 投資家からの「なぜ資産を無料で公開しているのか」というプレッシャー
  • これらは正当なビジネス上の悩みであり、セキュリティの問題とは本質的に異なる
  • セキュリティを理由にしたクローズド化は、オープンソースエコシステムへの不誠実な対応

Discourseのセキュリティ運用とAI活用

  • 毎リリースごとに最新AIスキャナ(GPT-5.4 xhigh、Opus 4.7 max等)で全コードベースを多日間分析
  • コントローラごとに独立して脆弱性を洗い出し、AIが自動生成したテストで実証できたもののみを人間が精査
  • AIスキャンコストは大幅に低下し、高品質なセキュリティ分析が安価に実現
  • バグバウンティもオープンソースだからこそ、研究者が容易に本質的な分析・報告が可能
  • アーキテクチャ面でもサンドボックス・レートリミット・CSP・権限分離など多層防御を徹底

オープンソースの価値とエコシステムへの責任

  • DiscourseはRuby, Rails, PostgreSQL, Redis, Ember, Linuxなど多くのオープンソースに支えられて成長
  • コミュニティへの恩返しとして、今後もオープンソースを維持する姿勢
  • コードをクローズドにすることは、過去のコミュニティ貢献を無にする行為
  • 13年のオープンソース運用で、公開がセキュリティリスクを高めた明確な証拠はなし
  • 発見された脆弱性は責任ある開示と迅速な修正で対応し、エコシステム全体の安全性向上に寄与

まとめ:AI時代におけるオープンソースの意義

  • AIの進化はセキュリティの前提を変えたが、防御側も同じ武器を使えるのがオープンソースの強み
  • クローズド化は一時的な「隠蔽」に過ぎず、根本的な防御力向上には繋がらない
  • 真の防御は、透明性・多層防御・迅速な対応・コミュニティ連携によるセキュリティ文化の構築
  • Discourseは今後もオープンソースであり続け、AI時代にふさわしいセキュリティ運用を追求

Hackerたちの意見

> 大部分はユーザーのブラウザにリクエストごとに直接配信されるんだよね。JavaScriptとか…。おお、今はJS重視のシングルページアプリから、普通のHTMLフォームと最小限のJSだけで強化したマルチページアプリに戻るように人を説得したい気分だよ。セキュリティのためにね。(夢見させてくれよ。)
Web3の世界には嫌なことがたくさんあるけど、バックボタンのフォーム再送信やリダイレクトループが嫌われるのはちょっと変だね。
最近、ウェブがすごく敵対的になってきて、正直言ってJavaScriptは安全でも役に立たなくなってるよ。今や広告やトラッカー、ペイウォールを提供するためだけに使われてる感じ。スクリプトを無効にしてウェブサイトが読めないなら、それは私向けじゃないってことだし、もう読まないよ。
> Cal.comに対しては公正でありたいと思ってる。彼らが悪意を持って行動しているとは思わない。ただ、セキュリティの議論は実際には別のことに関する決定を便利にフレーム化しているだけだと思う。[…] ビジネスの決定をセキュリティの必然性としてフレーミングするのは、Cal.comがここまで来るのを助けたオープンソースのエコシステムに対して失礼だよ。俺にはそれが悪意に聞こえる。
悪意ってのは、ただ悪いだけじゃなくて、意図的に悪くしようとすることが必要なんだよね。
記事の残りの部分は「彼らが悪意を持って行動しているとは思わない」と対比してる。この部分が気になる: > 5年間のコミュニティの貢献を受けて、ゲートを閉じて感謝しているとは言えないよね。そんな風にはいかないと思う。サムはCal.comの決定やそのフレーミングに感銘を受けてないって言ってもいいんじゃないかな。
この記事は、「力がありすぎる」という理由でモデルを隠すことに反対する議論を強化する良いポイントがたくさんあるね。AI企業が特別なホワイトリスト以外には誰にも提供しないプライベートモデルの強さを自慢しているのを見ると、がっかりするよ。これって、攻撃者にとっては防御の可能性がない入り口を与えるだけで、逆効果だと思う。
「力がありすぎる」ってのは、マーケティングにも役立つ便利な半分の真実だと思うし、もっと重要なのは、モデルが短期的に精製されるのを防ぐことだね。KYCの後か、次世代の「信頼できるパートナー」に提供する準備が整ったら「一般に公開する」って感じだろう。
> オープンソースは有用な緊急性を生み出す。コードが公開されていると、細かく調べられることを前提にするから、攻撃者が来る前に問題を見つけて修正するために早く、かつ積極的に投資するようになるべきだ。これがオープンソースをやる企業のメンタリティであるべきだね。素晴らしいポイントだ。
これは製品を作るすべての企業のメンタリティであるべきだね :)
「10年以上前に、リポジトリはGPLv2の下でライセンスされている。そしてそれは変わらない」まあ、GPLv2のフォークは続けられるから、結局Cal.comが何をするかはあまり関係ないよね。それがGPLの魅力でもあるし。厳格なライセンスだと思う。Linuxカーネルにとっては、BSD/MITよりもGPLv2の方が良い選択だったと思う。 > あのコードは、攻撃者、防御者、研究者、クラウドベンダー、メンテナンス担当者から常に scrutinized(監視)されている。絶え間なく攻撃されているけど、同時に絶え間なく強化もされている。Cal.comがディスコースから離れるのはビジネス上の決定だろうけど、セキュリティに関してオープンソースがクローズドソースより自動的に優れているという主張は変だよね。xz utilsのバックドアを覚えてる?人々は最終的にこれに気づいたけど。さて、どれだけのトロイの木馬が存在していて、人々が気づいていないんだろう?もっと洗練されたバックドアがあるかもしれないし、AIがそれを隠す手助けをしているかもしれない。オープンソースだからと言って、自動的にセキュリティが良いとは限らないと思う。ソフトウェアを信頼できる?カリフォルニアでは、プラスチック製の銃を抑制するために3Dプリントをさらに制限する最近の検閲法案があるけど、実際には業界からのロビー活動によるものだよね。3Dプリンターは制限されていない3Dプリンターを印刷できるの?州が法律で人々を監視するのも制限じゃないの?クリーンなオープンハードウェアとオープンソフトウェアのシステムが連携して機能することは可能だと思うけど、それを示さなきゃいけないよね。この古い「信頼」についての議論を見てみて: https://old.reddit.com/r/programming/comments/1m4mwn/a_simpl...
かなり面白いスレッドだね。投稿者の大半がポイントを全然理解してないみたい。
そもそもSaaSビジネスについて話してるんだし、オープンソースはあんまり関係ないよね。実際、彼らのサーバーで何が動いてるかなんてわからないし。
> セキュリティに関してオープンソースがクローズドソースより自動的に優れているという主張は変だよね。xz utilsのバックドアを覚えてる?XZ攻撃は、国家の関与が疑われる非常に稀な事件で、実際にはFLOSSが大きな標的で、攻撃するのが簡単じゃないことを証明している。リポジトリのオープンな性質のおかげで発覚したのも大きいし。私の知る限り、リポジトリ自体の変更ではなかったし。要するに、FLOSSを使うことがセキュリティを確保する方法だよ。プロプライエタリなものに触れるときは、注意してコンパートメンタリゼーションを使うべきだね。
> 「LinuxカーネルにとってGPLv2はBSD/MITよりも良い選択だったと思う。」ここは意見が違うな。企業がLinux Foundationを運営して、リーナスに給料を払ってるのはこのライセンスのおかげ。そうでなければ、彼らは欲しいものを取って、FreeBSDやOpenBSDのように干渉しないだろう。BSD/MITはより良いコンプライアンスをもたらす。今の状態が続いているのは、リーナスが商標を持っているから。リーナスが辞めたら、企業寄りの誰かが引き継ぐだろうし、その時に変化が見られると思う。興味があれば - https://www.unsungnovelty.org/posts/05/2023/open-source-proj...
自分のサイドプロジェクトをオープンソースにし始めたよ(コードが恥ずかしくない状態のときだけど)。バイナリをリバースエンジニアリングしたり、いろんなアプリをクローンしたり、AIの助けを借りてゼロから何かを作るのがこんなに簡単だと感じると、ソースコードを隠すことに意味がないと思う。もし私のコードを使って、私よりも良いものを作れるなら、頑張ってほしい!
Microsoftが私のコードを覗き見る代わりに、今はみんなができるようになった!
残念だなぁ。クローズドソースになって、みんなが使わなくなればいいのに。理由は山ほどあるけど、特にこれがひどい。 - 2年以上前のブラウザエンジンでは全く読み込まない。ウェブフォーラムとしては信じられない。非JSバージョンもあるけど、個別のスレッドにしか対応してないから、直接リンクしないとダメ(例えば、ウェブ検索エンジンから)。 - ページを移動するたびに、3秒間も視界を遮るサークルアニメーションが出る。何十年もあるウェブフォーラムソフトの明らかな後退じゃない? - 意味不明な機能が多くて、コードベースがめちゃくちゃな感じ。例えば、ブラウザウィンドウがフォーカスを失うと検索ボックスの入力要素が消えちゃう。途中でタブを切り替えたら、戻るたびに検索ボックスを再度開かないといけないし、外部エディタを使って入力することもできない。エディタにフォーカスを当てた瞬間、その要素が消えちゃうから。 - 検索結果は5件しか表示されない狭いレスポンシブリストに詰め込まれてる。残りの結果を見るには「もっと見る」を押さないといけないけど、それもまたレスポンシブリスト。合計で何件あるか全然わからない。今まで読み込まれた分より多いってことだけはわかる。 - 長いスレッドは完全には表示されない。いつも不完全なチャンクでしか見れないから、スクロールバッファに位置マーカーを設定しても、行き来できない。現在読み込まれているチャンクの境界を越えたら、古いコンテンツが消えて新しいのに置き換わる。まるでアルツハイマーになった気分。 - スレッド内の特定の投稿に返信すると、どの投稿に返信したかのビジュアルインジケーターが表示される。ただし、スレッド内の最新の投稿に返信した場合は別。だから、投稿を読む人は、それが上の投稿に向けたものなのか、スレッド全体に向けたものなのか、事前に知る手段がない。ディスコースが本当に嫌い。FOSSコミュニティにこんなに受け入れられた理由が全く理解できない。結局、自己満足のためなんだろうね。
これが、vBulletin 3を引退させる時に私が使わなかった理由のいくつか。vB 4や5は採用しなかったけど、コードは「良くなった」と思う(クラスやOOPを使ってるし)けど、目に見えて遅くなったし、元の開発者たちは追い出されたか、売られちゃった。元のvB開発者たちはXenforoを作ったけど、これはvB 3の精神を引き継いでいて、ライブアップデートなどのモダンな機能もある。ディスコースは自ホスティングするのが…難しいと感じた。
一番嫌なのは、情報のブラックホールであるディスコード。複雑な新しいソフトウェアリリースを使って難しい問題を解決しているコミュニティに参加してるけど、特定のことを見たいなら、ストリームを見てないと何も役に立つ情報は見つからない。ディスコードは同じ質問が何度も何度も繰り返される底なしの海で、元の質問をした人は自分の返信を見ないまま。自分のメッセージに返信があったら通知がなければ、ディスコードは100%無価値だね。
> 「自己満足のためなんだろうね。」みんながどれだけ滑稽に聞こえるか理解してくれたらいいのに。
どこからこの熱が来てるのか分からないけど、あなたの考える「良い」フォーラムって何?ぜひチェックしたいな。
一番最悪な部分を忘れてるよ:ディスコボットが、ディスコースフォーラムにサインアップするたびに毎回チュートリアルをやらせようとしてくるんだよね。
いい記事だね。カルの発表についても同じことを思った。「私たちは全てのビジネスをセキュリティを隠すアプローチにシフトする用意がある」って感じだよね。システムが十分に高度になれば、週末の間にアプリケーションを狙って、提供するすべてのエンドポイントで何千もの攻撃を試みるようになると思う。ソースコードが公開されているかどうかに関わらず。ウェブで何かを立ち上げたことがある人なら、ログを見れば/wp-admin/やランダムなWordPressプラグインへのリクエストがどれだけあるか分かる。自分のサイトがWordPressを使ったことがないのにね。これがスケールで起こると想像してみて。あらゆる攻撃方法が盲目的にウェブ上のすべてを狙う。これが私が思う未来で、クローズドソースでは解決しないよ。
> 「コードがオープンソースなら、セキュリティチームもスキャンできるし、貢献者もスキャンできるし、独立した研究者もスキャンできる。」本当に!もしみんながClaudeのMythosと同じシステムにアクセスできるなら、ハッカーがそれを見つける前に、もっと多くの人が問題を特定しようとするのが一つの解決策だよ。
誰か、あのマルチデイのAIコードレビューに使ってるツール知ってる?