GitHubは8日、テキストエディタ「Atom」の開発を終了すると発表した。Atomは、GitHubが開発したオープンソースのテキストエディタ（GitHubリリース、ITmedia、窓の杜）。

発表によると12月15日に関連する全プロジェクトをアーカイブする方針が示されている。同ソフトは後発の「Visual Studio Code」にユーザーを奪われる傾向にあり、同ソフトに関してはここ数年、開発が停滞していたとされ、Atomコミュニティーへの参加者も減っていた模様。Atomの利用者には、12月15日の廃止日までに代替サービスへの移行方法などを案内するとしている。

あるAnonymous Coward 曰く、

Microsoftの買収によりVSCodeと被ったからそのうちこうなるとは思っていた。

MIT Technology Reviewの記事によれば、5月18日に中国版のGitHubとされる「Gitee」で、ホストされているオープンソース・コードが一時的にロックされ、非公開にされる措置が取られていたという。Giteeは中国政府の支援を受けているいわば公認サイト。非公開措置が取られた正確な理由は不明。MIT Technology ReviewがGiteeに対して変更理由を問い合わせたものの回答はなかったという（MIT Technology Review、MITテクノロジーレビュー日本語記事、ASCII、South China Morning Post）。

South China Morning Postの記事によれば、すべての新しいオープンソースリポジトリは、正式公開前に手動でレビューが必要になったのだという。中国のQAサイトである知乎でGitee側がおこなった回答によれば「公開されていたものに関しては一時的に非公開化し、レビューがおこなわれた後に再び公開します」との回答があったとされる。

中国政府による検閲の可能性が高いと推測されているが、このことは中国のオープンソース・コミュニティに衝撃を与えているという。MIT Technology Reviewの記事ではこうした検閲がオープンソースプロジェクトに貢献する人々の意欲をそぎ、中国のソフトウェア産業に悪影響を及ぼすのではないかと指摘している。

あるAnonymous Coward 曰く、

記事内のGiteeの声明というページは既に消えてしまっているようだが、事実であれば中国のOSS開発者の活動は極めて不自由なものになりそうである。

headless 曰く、

中国でオープンソースに依存することの安全性について議論が活発化しているそうだ (South China Morning Post の記事)。

オープンソース依存が危険だという主張は、地政学的緊張が高まる中で西洋の技術の供給が絶たれる可能性を懸念するものだ。このような懸念は 2019 年に米国が Huawei を安全保障上の脅威を理由に輸出規制の対象とし、同社のグローバルなスマートフォンビジネスをほぼ消滅に追い込んで以来膨らみ続けていた。さらに、ロシアのウクライナ侵略を受けてオープンソース企業がロシアから撤退したことで懸念がさらに増幅したようだ。Qihoo 360 の周鴻禕氏は Weibo への投稿で重要な情報インフラストラクチャーを国際的なオープンソースコードで構築する状況を砂上の楼閣だと述べ、国産ソフトウェア開発の重要さを強調している。

中国では 2020 年に大手テクノロジー企業が出資してオープンソース基金 Open Atom Foundation が設立されており、ソースコードホスティングプラットフォーム Gitee は政府の後押しもあって GitHub に次ぐオープンソースコミュニティになっているという。しかし、開発者からはオープンソースコミュニティを国家が強く支配することへの懸念の声も出ている。実際、5 月にはすべての公開リポジトリが一時閉鎖されてコードレビューが行われたが、プラットフォーム側は政府に従うしかなかったとのこと。

GitHub の Kevin Xu 氏は 2020 年のブログ記事で、政府が技術的な発展を強化するためオープンソースに力を注ぐことは賢明であるとし、中国はそれを進めていると述べたうえで、どの政府もオープンソースの本質や文化に反する「国有化」を進めるべきではないと述べていた。

headless 曰く、

Snyk が Linux Foundation の協力によりまとめた報告書「State of Open Source Security 2022」によると、オープンソースパッケージの依存関係によりソフトウェアサプライチェーンの複雑さが増し、脆弱性の修正にかかる時間が長くなる傾向がみられるそうだ(プレスリリース、 BetaNews の記事)。

オープンソースパッケージは現代的なアプリケーションで重要な要素となっており、開発者は数多くのオープンソースパッケージをプロジェクトで使用する。プロジェクトごとの直接的な依存関係は平均 80、最も多い JavaScript プロジェクトでは平均 174 まで増加する。依存関係は直接的なものだけでなく、推移的 (間接的) な依存関係もある。推移的依存関係は見えないリスクを生むだけでなく、修正も困難だ。脆弱性全体の 40 % が推移的依存関係で見つかっており、プロジェクトごとの平均的な脆弱性の数 49 に対し、18 ～ 20 が推移的依存関係から発生することになる。

その一方でオープンソースソフトウェア (OSS) の開発・利用に関するセキュリティポリシーを確立している組織は 49 %。組織内の OSS のセキュリティを信頼していないという回答は 41 % にのぼる。ただし、72% は 2022 年末までにある程度以上のセキュリティを確保できると回答しているという。オープンソースプロジェクトで脆弱性が修正されるまでの (平均) 時間は 2018 年の 49 日間から 2021 年には 110 日間まで増加しており、プロプライエタリプロジェクトよりも 18.75 ％ 長い時間を要するとのことだ。