金銭的支援だけじゃない、Linux FoundationのCommunityBridgeとは：「OSSの持続可能性を向上」（2/2 ページ）

[三木泉，＠IT]

　「コミュニティーに価値をもたらさないプロジェクトを支援するつもりはない。例えば（ECサイトの）eBayは、世の中に存在するもの全てを売っているわけではない。これと同様な意味で、CommunityBridge Fundingに参加させないOSSプロジェクトが今後出てくる可能性はある。だが、これまでに参加を断ったケースはない」

　では、OSSへの資金提供を促進するプラットフォームを、Linux Foundationが運営する価値とは何か。他にもあるファンディングプラットフォームと本質的には変わらないのだろうか。

　フォング氏は、他との違いとして「信頼」を挙げる。Linux Foundationは、これまでさまざまな企業からの寄付を受け、これを適切な用途に使ってきた。この過程で獲得した信頼を、各OSSプロジェクトの支援に適用するのが、CommunityBridge Fundingだという。

　「あるOSSプロジェクトに価値があると考えたからといって、PayPalなどを使って直接このプロジェクトに寄付したいだろうか。（少なくとも）大企業はそういうことをしない。一方CommunityBridge Fundingの場合、提供資金はLinux Foundationが受け、適切なプロジェクトにこれを送金する。そして、アイスクリームを買うために1万ドルが使われるといった、おかしなことが発生するのを防ぐためのチェックを行う。使途は公開する。資金提供者は、寄付が適切なところに送られ、適切に使われるという点で、安心を得ることができる」

　では、事実上単一のベンダーによるOSSプロジェクトで、そのベンダーが何らかの商用版を販売している場合は、CommunityBridge Fundingの対象になるのだろうか。

　「『OSSに基づく商用版で料金収入を得ているが、もっと資金が必要だ。だからCommunityBridge Fundingに参加したい』というのなら、それでもこちらとしては問題ない。だが、既に料金を徴収しているなら、（ユーザー組織は）『なぜさらに払う必要があるのか』と考えるだろう。従って、実際に支援を得るのは難しい可能性がある。こうしたベンダーは、CommunityBridge Fundingに参加して集まった資金がゼロだった場合のリスクを考えた方がいいと思う。ただし、製品をより広く知ってもらうためのイベントを開催する経費の支援を募るのであれば、寄付したいという組織はあるだろう」

資金支援以外の、CommunityBridgeの活動とは

　CommunityBridge Fundingは、CommunityBridgeにおける中核的な活動といえるが、他に、「CommunityBridge Security」（セキュリティスキャンサービス）、「CommunityBridge People」（メンターシップ支援の仕組み）を提供していく。

Linux FoundationのCommunityBridgeプロダクトディレクター、ティム・フォング氏

　CommunityBridge Securityは提供が始まっているが、執筆時点ではCommunityBridge Funding対象プロジェクトに限定して適用されている。

　これは各種のコード脆弱性データベースに蓄積された情報を基に、コードの脆弱性をチェックするものだ（同サービスは無償で提供している）。こちらこそ、Red Hat、GitHubをはじめとした多数のITベンダーが提供しているコード脆弱性評価サービスに近い。しかも、少なくとも現状では、Linux Foundation自体が運営しているのではなく、他のシステムを援用しているという。なぜLinux Foundationが、商用ベンダーに似たサービスを提供しなければならないのだろうか。

　理由の一つは、CommunityBridge Fundingとの関係にある。同プラットフォームの各プロジェクトに関するページで、上図のように、プロジェクトにおけるコードの脆弱性についての概要が公開されている（詳細はプロジェクトのメンテナーのみが見られる）。従って、資金的な支援の提供者はこれを見ることで、プロジェクトがセキュリティに十分留意した活動を行っているかどうかを推し量り、これを資金提供に関する判断に生かすことができる。

　だが、フォング氏はCommunityBridge Fundingを超え、多数のプロジェクトに提供していくことを目標にしていると話す。

　では、なぜLinux Foundationは、CommunityBridge Securityを提供するのか。理由は、OSSを安心して使える環境を提供することにあるという。

　「OSSはさまざまな組織にとって、ますます重要な存在になっている。だが、コードのセキュリティに関する安心感が得られないと、組織のユーザーは経営陣を説得できない。そこで、セキュリティに関する情報を即座に確認できるような場所を提供しようとしている。OSSの利用に関心がある組織が、関連情報を1カ所でチェックできる環境を構築することを目指している。商用ベンダーによるサービスでは、利用に（料金などの）障壁があるし、サービスから恩恵を受けられる人々も限られる」

　この説明は、CommunityBridgeがCommunityBridge Fundingだけでなく、CommunityBridge Security、CommunityBridge Peopleといったツールを含んでいることにもつながる。CommunityBridgeの最終的な目的は、OSSプロジェクトと、そのユーザーや企業をより密接につなぐことで、OSSを全体的に活性化していくことにあるのだという。