2026-05-20 の一覧へ戻るホーム
オープンソースプロジェクトが死に至る愚かな方法たち

2026/05/20 4:22

オープンソースプロジェクトが死に至る愚かな方法たち

RSS: https://news.ycombinator.com/rss

元のHacker News記事へ ↗
要約

Japanese Translation:

オープンソースソフトウェアは、活発なツールから使えなくなった「行き詰まり」の状態に移行することが頻繁に起こります。この過ちは単なる無視ではなく、人間による放棄と構造的な脆弱性に起因するものであり、その原因には多様な要因が挙げられます。人間の要因としては、消える維持者(ゴースト・メインターネーター)が存在し、これが単純な不活動と見分けがつきにくい場合もあります。学位取得や解雇後のプロジェクトで終了する「卒業生」や「企業孤児」、活動的だが精疲労に陥っている開発者の burnout、そして管理権が到達不可能になる継承デッドロックなども含まれます。

さらに財政的・構造的な罠も指摘されています。助成金などの資金崖(フール)による資金の終了、破壊行為や悪意のある目的のために乗っ取られた維持者アカウント、元ツールの消失ながらアーティファクトが残る「ビルド考古学」などがそれです。具体的な脅威としては、「抗議ソフトウェア」と呼ばれる意図的な破損(例:left-pad インシデント)、潜在的な後継者を追い出す有毒なゲートキーピングがあります。

また、エコシステムはアーキテクチャ的漂流という課題に直面しています。プロジェクトがレガシーランタイムや旧バージョンに置き去りにされる場合、API の rug-pull によって外部依存関係が終了する例、ネイティブ言語機能がポリフィルを代替するケース、そしてライセンス変更によりユーザーが古い「オープンコア」版に制限される現象などがあります。実例としては、Google の「インフラストラクチャ墓地」、xz ソシアルエンジニアリング攻撃のようなインシデント、「シャドー維持」されておりパブリックバージョンは実際のプライベート状況に遅れているレポジトリなどが挙げられます。最終的に、これら全ては、ビルドできないコードに直面するユーザーや、サプライチェーン攻撃に晒されるリスクにある企業にとって深刻な帰結を招きます。その結果、ステークホルダーが空洞化または破損したシステムに拘束され、全体的な革新が遅延するという事態を招くことになります。

本文

『バーニーの週末』は、最も信頼に拠るべきオープンソースパッケージの相当数が既に停止していることを示し、プロジェクトがそのような運命を迎えるには様々な要因があることも明らかにしました。

メンテナ不在の場合

  • ゴーストメンテナ:最も単純で一般的なケースです。最後のコミットは数年前のもので、未解決の問題が蓄積しているにもかかわらず、リポジトリがアーカイブされていないため、それを示唆するフィルタリングには表示されません。通常、メンテナは他のことに専念し、プロジェクトへの関心が薄れたため、公式に引き継ぎや停止手続きを行わなかったことが原因です。しかし、その沈黙はメンテナ自身が生還しているにもかかわらず死亡していた場合までを隠蔽するため、レジストリもリポジトリもこれを表す手段を持っていません。外部からは長期休暇中のように見え、未解決の問題が蓄積して沈黙が疑いを解く水準に達するまでは区別できないため、『バーニーの週末』リストの上位には主にこのタイプが含まれます。
  • 企業の孤児:企業がチームを設けて構築・オープンソース化したプロジェクトで、その後、方向転換やリストラによりチームが消滅し、README が更新されませんでした。GitHub の組織には会社のロゴが残っており、かつて管理権を持っていたメンバーも去っていますため、現在同社に残る誰もがこのプロジェクトが自社のものだとは認識していないことがよくあります。グーグルの「霊園」と呼ばれる事例が有名ですが、一定規模を超えたどの会社にもいくつか存在し、インフラとしてではなく製品としての位置づけだったものは、廃止に関する通知さえ出されない傾向があります。
  • 修士論文の孤児:大学院生によって修士課程や博士課程の研究プロジェクトのために構築され、以来卒業して他分野へ進んでしまったケースです。リポジトリは所属研究科的名义上所有していますが、継続に必要な文脈を持つ人物もおり、学術界からは新規出版に比べ既存ソフトウェアの維持に引用権限や評価上の価値が認められないため、誰も引き継ごうとはしません。研究用ソフトウェアには多くの此类の例があり、記述したコードが構築できなくなっても数年後まで論文が参照されていることがよくあります。
  • 資金切れの崖:助成金または固定期間の sponsorship(支援)により運営され、通常は財団や公共ソフトウェア基金から提供されるものであったりしますが、予定通りに資金が尽きたケースです。メンテナたちは家賃を支払う他の仕事に戻り、フルタイムで機能していたプロジェクトはようやく夜間・週末の労働になり、その規模では何の意味も持ちません。支援者のロゴは README に長期にわたって残っており、これを見て健全な支援プロジェクトと誤認しやすいのがこのタイプです。
  • 採用され移動:メンテナが企業により採用され、雇用契約上または単に新しい業務負荷の増大によりプロジェクトが停止したケースです。稀に競合他社が課題を撤廃するという意図的なケースもありますが、より一般的なものは悪意的ではないためで、Apple は外部オープンソース開発を禁じる典型的企业であり、メンテナが加入するとデフォルトでプロジェクトが静かになります。手前の引き継ぎを行うことが明らかな解決策ですが、それを期日に間に合わせることはほとんど誰もしません。
  • 後継者による死結:元メンテナに連絡がつかず、引き継ぎ意愿者がいるものの、レジストリにおける公開権限は他者がアクセスできないアカウントと紐付いており、GitHub リポジトリにも他の管理者が存在しない状態です。また、レジストリの放棄されたパッケージ処理プロセスには元のメンテナの同意が必要であり、あるいは数ヶ月に及ぶ紛争を必要とし、明確な当事者として立ち入る立場を持つ者がいないためです。PEP 541 プロセスや npm の紛争対応ポリシーはまさにこのために存在しますが、フォークしてリネームするよりも時間がかかるのが常態です。

メンテナが存在する場合

  • 燃え尽きた高原:どの指標を見ても依然として活動的です。タイプ修正や依存関係の更新がマージされ、問題には「ありがとうございます、検討します」といった反応が偶発的に現れますが、実際に設計判断やデバッグセッションが必要なものはエネルギー不足のため indefinitely 開かれたままです。フォークを提案する者も最近のアクティビティを指摘されますが、実際に shipping(リリース)するには至らない程度のものであり、これが数年間維持されていながら「完全に停止している」と感じるほどにはなっていない状態です。
  • 慈愛のゾンビ:コントリビューショングラフは濃緑色で、すべてのコミットがボットによるものです。Dependabot による依存関係更新、自動マージルール、更新をきっかけにした自動リリース、そして人間が一切確認しなくても灯りを維持できるスケジュール化されたコーディングエージェントによる運用です。すべての更新基準に基づく健康スコアは良好と評価していますが、これも更新基準に基づく健康スコアの根本的な問題そのものです。
  • 監禁闘争:複数の共メンテナの中で対立が生じ、互いをブロックするだけの権限を持ちつつも、単独では進めることはできないため、プロジェクトが両者によって凍結されている状態です。フォークで解決するか、いずれ一方が去って解決に向かう可能性がありますが、多くのケースでは Issue トラッカーに「何が起きているのか」と問うユーザーが増えており、矛盾する回答しか返ってこないまま放置されることになります。
  • 知識の喪失:コードは動作しテストも通りますが、なぜそうなるか理解していた人物が離脱し、残っている誰も構造的な部分への触れを安全だと確信していません。実際には読み取り専用モードとなり、端部の小さなパッチ程度なら問題ありませんが、構造上の改修は試みてもリスクが高すぎるためです。数値計算や解析コードで特に多く見られ、一人の人が 10 年前の論文から実装したアルゴリズムを独自に記述した部分が核心となっているためです。
  • 毒性のゲートキーピング:メンテナ自身が現場にいて攻撃的です。新規コントリビューターは厳しいレビューを受け、二度と戻ってこなくなります。バスター(Bus Factor)は常に 1 に留まり、誰もレポジトリを共有して耐えられることはありません。コミット数やクローズされた Issue 数の指標では健全に見えますが、その唯一の人物がやめてしまうとゴーストメンテナ型のケースとなり、後継者のプールが存在しなくなります。なぜなら以前から引き継ぐことを志した人は全員追いやられているためです。

サボタージュと乗っ取り

  • 乗っ取られたメンテナ:コミット権限または公開権限が敵対者によって取得されます。
    xz
    の事例は高度なもので、過労に喘ぐ単独メンテナに対する 2 年間のソーシャルエンジニアリングキャンペーンの結果、共同メンテナが追加され、それがバックドア付きのリリースを shipping しました。2018 年の 
    event-stream
    の事例は単純で、元の著者がボランティアから頼まれごとを受け、その後下流依存関係にウォレット盗みツールを追加しました。いずれのケースでも、乗っ取り中プロジェクトは以前よりも健全に見えました。なぜなら新たなメンテナが作業を遂行していたからです。
  • 抗議用ソフトウェア:正当なメンテナが意図的に自分のパッケージを破壊します。
    colors
    faker
    は 2022 年に著者によりサボタージュされました。同年には 
    node-ipc
    がロシア・ベラルーシの IP アドレスを対象としたペイロードを shipping し、また 2016 年の npm との紛争中に 
    left-pad
    は完全に unpublished されました。動機は様々ですが、下流への影響は同じです:レジストリ上のコードが人々が思い描いていたものと一致しなくなり、警告なしに実行されます。

リリースパイプラインの破損

  • 維持はされているが発行されていない:開発は進行しており修正も Git にマージされていますが、誰もうまくリリースできません。公開権限を持つアカウントが消え失せたり、二段階認証デバイスを失ったり、所属企業が存続しなくなったりします。下流側は最後の公開バージョンに固定されながら、必要な修正はリポジトリ上で確認可能ですがレジストリからはインストールできない状態となり、これが元の『バーニーの週末』ポストで多くの時間を費やしたシナリオです。
  • メインブランチからの解放不可能:デフォルトブランチが最後のタグから十分に逸脱しており、リリースすると全員にとってbreaking change(不具合変更)となるため、誰もしり込みしたくなく、タグ付けもされません。新規コントリビューターはメインブランチにパッチを適用しますが、ユーザーは数年前のコードを実行しており、このギャップが広がり、リリースを行う作業自体がプロジェクト化してしまいますが、スタッフがつくることができません。
  • 構築考古学:公開されたアティファクトは動作しますが、誰も再構成できません。CI サービスが消滅したり、ベースイメージが削除されたり、メンテナの持っていたツールバージョンやノートPC が失われたりします。新しいリリースを行うにはまずビルド環境を再構築する必要があり、それについて何が設定されていたかはそれを手がけた人間と共に消えてしまいます。
  • シャドウメンテナンス:真の開発は企業のprivate monorepo 内で進行し、公開リポジトリへは定期的なsquash コードダンプ(コミットメッセージには"sync.」程度のもの)が追加されます。公開リポジトリに対する Issue や PR はどこにも到達せず、そこで作業している人間はいません。オープンソースプロジェクトは閉鎖されたプロジェクトの発行チャンネルに変質し、外部から見ればシャドウメンテナと区別がつかないためです。ただしsync が降臨する日だけは例外となります。
  • 孤立したメジャーバージョン:プロジェクトは v4 で維持されており積極的に開発が続けられていますが、エコシステムの多くはまだ v1 に留まっています。v2 は書き直しであり移行できなかったため、v1 は数年前からメンテナの関心が欠如しています。「プロジェクト」が死んでいるかどうかは、どのメジャーバージョンを問うかに依存し、最もインストールされているバージョンが関心を集めているとは限りません。
  • レジストリ孤児:パッケージはレジストリから解決でき、メタデータのソースコードリポジトリURL は404エラー(削除済み、private に切り替えられたか、レジストリ更新なしに移動されたか、ホスティングサービス自体が停止した)を示します。Issue を提出したりフォークしたりする場所がなく、tarball が過去に存在していたソースコントールの何とでも整合しているかを検証する手段もありません。npm の約 1.7% と Packagist の約 4% は存在しないリポジトリを指しており、そのうちかなりの数がまだインストールされています。

不可抗力

  • 制裁による孤立:メンテナは能力もあり意欲もあるものの、レジストリが自国の管轄域をブロックしたり、アカウントが輸出管理の下で凍結されたりしてプッシュできません。過去数年間で npm や GitHub の数件のアカウントがこれにより停止されています。下流側からはゴーストメンテナと同じように見えますが、メンテナは他プラットフォーム上で状況を大声で説明することが多いのが特徴です。
  • 削除の犠牲者:DMCA 請求商標紛争の結果、レジストリまたはホストから削除されました。
    youtube-dl
    は 2020 年の削除後に復活しましたが、多くの小さなプロジェクトではそうではなく、請求の有効性にかかわらずパッケージがまだ解決するかどうかは関係ありません。

世の中が進んだ

  • プラットフォームによる孤立:終息期(EOL)のランタイムに縛られています。Python 2 のみで動作し、CI イメージから除外された Node バージョンを必要とし、コンパイラ拡張が削除されたものに依存します。ポートリングには残っている誰一人として取り組む意欲を持たず、必要なプラットフォームが次第に利用可能な場所から姿を消していきます。
  • 伝播的死:プロジェクト自体は問題がなくメンテナも存在し協力意愿がありながら、自らの依存関係ツリーの 2〜3 レベル下にリストにあるルートのいずれかにより死亡したものが存在しており、書き直さずに交換できません。プロジェクトは自らのリポジトリに変更がなくてもその死を継承するため、これは再帰的なケースです:ここに記載されているすべての項目もまた、あなたに依存するものを殺す方法でもあります。
  • API の絨毯引き上げ:プロジェクトが外部サービスをラップしており、所有者が撤退しました。サービスレイヤーでは API が停止または価格変更によりアクセス不能になったクライアントライブラリであり、Twitter の 2023 年の変更と Reddit の動きが一度にその世代を殺しました。プラットフォームレイヤーではブラウザがインターフェースを廃止するか、OS が機能を制限し、NPAPI や Flash、Chrome アプリなどの上に構築されたすべてを説明します。いずれの場合もメンテナは自社の側から何もする手段がありません。
  • 代替:プロジェクトが目指すことはもはや必要ありません。実装していた規格が置き換えられたか、言語自体が原生的に同じことをできるようになったためです。
    Object.assign
    出現後の 
    object-assign
    、ES2015 後の lodash の単一関数パッケージ、多様な promise や fetch のポリフィル、そしてプロトコルレベルでは誰も発信していない形式のための多数のライブラリなど。メンテナは合理的に停止し、数十万のロックファイルが依存関係をまだ解決できるのに削除しないのが優先でインストールを続けます。

プロジェクトの分裂

  • フォークの不毛地帯:意見の相違またはメンテナの離脱によりプロジェクトが 2 つ以上のフォークに分裂し、明らかに勝者がいません。下流側は分裂前の最後のバージョンに固定され、フォークが失われるリスクを負うことを望まず、インストール計数は元のバージョンに留まりつつ、開発努力は他の名前で別の場所で行われます。
    io.js
    Node
    は最終的に再び統合され、
    libav
    も FFmpeg に再統合されましたが、多くの小さな分裂は一切解決することなく残っています。
  • ライセンス変更の余波:プロジェクトがオープンソースではない何かにリライセンスされ、旧ライセンスに基づくコミュニティフォークが存在しますが、採用がそこへ集約されていません。Terraform/OpenTofu や Redis/Valkey はこの道程の途中にあり、Elasticsearch はさらに数年先です。多くのロックファイルは元の最後のオープンライセンスバージョンを指しており、現在は誰も維持しない固定点となっています。
  • オープンコア空洞化:興味深い開発は商業版へ移動し、オープンソースリポジトリは無料層として保持されます。リリースは行われますが、主にバージョン番号の更新や有料製品と区別されないものであり、当初プロジェクトに参加した人々は実質的に異なる小規模なプロジェクトへと変貌しており、改名されることなくそのままです。

メルボルン・メトロ安全性キャンペーン(このポストにちなむもの)は「電車の周りを安全に」という行動可能なメッセージで締めくくられます。上記のどのパターンが当てはまるにせよ、パッケージの解決結果は同じであり、あなたのロックファイルも墨镜をかけたパーティー車でそれをぐるぐる回し続けるでしょう。誰も近づいて詳しく見なければ限りです。

同じ日のほかのニュース

一覧に戻る →

2026/05/20 2:43

Gemini 3.5 フラッシュ

## Japanese Translation: Google は、最先端の知能と自律的なアクションを組み合わせて複雑なワークフローに対応する高速度 AI モデル Gemini 3.5 Flash を発表した。本モデルは今日から Google アプリ、Google Search AI Mode、Android Studio や Gemini API のようなエンタープライズプラットフォームを通じて地球規模で数十億人のユーザーに利用可能であり、処理速度では他の最先端モデルの最大 4 倍を誇り、コーディングおよびエージェントベンチマークにおいてはフラッグシップ級の能力と拮抗する。本モデルは特定タスクにおいて優れ、Terminal-Bench 2.1 で 76.2%、MCP Atlas で 83.6% のスコアを獲得し、CharXiv Reasoning では 84.2% のマルチモーダル理解力を示して業界をリードしている。更新された Antigravity ハネスを使用することで、研究論文の迅速な統合やコードベース全体の変形を 6 時間で実現するとともに、より豊かなインタラクティブな Web インターフェースとグラフィックスの生成が可能になる。Shopify、Macquarie Bank、Salesforce、Ramp、Xero、Databricks のような実世界パートナーはすでに、この技術を利用して商取引予測、顧客オンボーディング、税務フォーム処理、データ診断といった重要なプロセスの自動化を進めている。さらに、Google は今日から信頼されるテストユーザー向けに、本モデルを活用した新しいパーソナル AI エージェント「Gemini Spark」を展開しており、間もなくより広範な利用が可能になるという。Frontier Safety フレームワークを遵守し、強化されたサイバー保護機能や内部の推論ロジックを明らかにする高度な説明可能性ツールを搭載している。また、本モデルの内部バージョン"Pro"が現在使用されており、来月には公開予定で、極致の速度と堅牢な信頼性の両立という新たな業界ベンチマークを確立することになる。

2026/05/20 3:34

グーグルが検索ボックスを変更しました。

## Japanese Translation: Google は本日、AI モードのグローバルなデフォルトモデルとして Gemini 3.5 Flash をリリースし、検索体験を根本的に変革しています。この動きは、25 年以上にわたり最も重要な Google 検索インターフェースのリデザインであり、テキスト、画像、ファイル、動画、Chrome タブを動的に受け入れるように再設計された AI 搭載の検索ボックスを導入します。インターフェースの大規模な刷新に加えて、このアップグレードは予約サービスを利用するなどの自律的なツールや、Agentic コーディングを通じて独自のカスタム生成型 UI を構築するための強力な「エージェンティック」機能を含みます。これらのエージェントは、金融やスポーツ、マンション探しやスニーカーコラボレーションなど、ニッチな関心分野に至るまでリアルタイムデータストリームを監視するバックグラウンドプロセスとして 24 時間年中無休で動作し、実質的に常時稼働するアシスタントとして機能します。 今年の夏以降、これら先進的な機能(独自ダッシュボード、トラッカー、「ミニアプリ」など)は Google AI Pro & Ultra サブスクリプションのユーザー向けに初リリースされ、その後世界中の約 200 カ国、98 ヵ国語に対応し拡大します。いずれすべてのユーザーへ無料で提供されます。ユーザーは Gmail や Google Photos など個人データを安全に接続することで、個別最適化されたソリューションを可能にし、Google が汎用的な検索結果を超えて、日常業務や複雑なタスクに対するエージェント駆動型のパーソナライズ体験において、ユーザーデータと直接相互作用することを可能にすることに大きく転換します。

2026/05/20 0:53

思い浮かぶほぼ全てのオペレーティングシステムを展示した仮想美術館を作成しました。

## Japanese Translation: Virtual OS Museum は、Linux ベースのプロジェクトであり、独自のエミュレータとスナップショット機能によって一般的なインストール問題を回避し、20 年以上にわたるコンピューティング史へのアクセスを提供します。QEMU、VirtualBox、または UTM を通じて実行され、エミュレータに依存しないランチャーをサポートし、フルオフラインエディション(すべて事前にダウンロード済み)と初回実行時にイメージをダウンロードする軽量バージョンの 2 つの形態に対応します。両方のエディションとも自動更新および手動更新をサポートします。コレクションには、1948 年のマンチェスターベビーから現代の PC およびモバイル・埋め込みデバイスまでが含まれ、メインフレーム、ミニコンピュータ、ワークステーション、ホームコンピュータ、クラシック Mac OS(X 10.5 PPC まで)、初期の Unix の祖先、Xerox Star に代表されるデスクトップメタファー型 GUI、Plan 9 や Smalltalk などのおさらいな研究システム、および歴史的使用シナリオを再現するための追加アプリケーション、開発ツール、ゲームを網羅しています。各ゲスト VM の項目には、HP-UX CDE、Mac OS Finder、Amiga UNIX OpenLook といった時代特有の環境を反映させる具体的なソフトウェア構成が含まれています。Patreon、Ko-fi、Discord/Fluxer、GitLab、およびソーシャルメディアによって支援されている同博物館は、コンピューティングの進化を保存し、特殊な機器や複雑なパッチングプロセスなしに、開発者や歴史家がレガシー GUI や研究システムを安全に研究することを可能にします。

オープンソースプロジェクトが死に至る愚かな方法たち | そっか~ニュース