ヘンリー・チューのことも、彼が開発するソフトウェアのことも聞いたことはないかもしれない。しかし彼は、あなたが毎日使っているウェブサイトに欠かせないソフトウェアをつくっている。

チューが手がけているのは、「Babel」と呼ばれるプログラムだ。プログラミング言語「JavaScript」で書かれたコードを、別ヴァージョンのJavaScriptに翻訳するプログラムである。

そんなことか、と思うかもしれない。しかし、すべてのブラウザーが最新のJavaScriptに対応しているわけではない。プログラマーはBabelのおかげで、コードを実行するブラウザーのことを気にすることなく、JavaScriptの最新機能を使うことができている。Babelはその有用性から、Facebook、Netflix、Salesforceなどに採用されている。

オープンソースでも収益を得られる仕組み

チューは2018年、Babelの開発にフルタイムで取り組むためにアドビの仕事を辞めた。リスクはあった。というのも、Babelはオープンソースである。オンラインで自由に入手できるし、使うためにお金を払う必要はない。つまり、チューはBabelで儲けるクリエイティヴな方法を考え出す必要があった。

オープンソースの開発者、特にあまり注目されず一般受けしない「ボンネットの中」のプロジェクトに取り組む開発者には、これはおなじみの状況だ。Babelより知られていないプロジェクトも多い。

定職に就いてそこからお金をもらう一方で、オープンソースに取り組む開発者もいることはいる。しかし、こうしたプロジェクトはたいてい、ほかの仕事をやり繰りしながらではやっていけないような作業を必要としている。オープンソースコードのライブラリへの依存は強まっており、そのライブラリがさらにほかのライブラリに依存しているという状況がある。これは大きな問題になるおそれがある。

そうした無名のプログラマーが報酬を得られる力になりたいと考えているのが、スタートアップのタイドリフト（Tidelift）だ。同社は、自社のビジネスモデルをNetflixになぞらえる。

企業がタイドリフトにサブスクリプション料を払うと、タイドリフトはその一部を受け取り、残りをサブスクリプション契約者が使っているBabelのようなオープンソースのプロジェクトに分配するという仕組みだ。契約者は対価として、ソフトウェアが適切に保守されているという保証を得る。

オープンソースを「使い放題」に

無料で使ってきたソフトウェアのために、企業がなぜタイドリフトにお金を出すのだろうか。主な理由はサポートだが、ソフトウェアが時代遅れにならないように、そしてほかのプログラムとうまく協調するようにするためでもある。

新しいアイデアというわけではない。レッドハットは、Linuxカーネルとその他のオープンソースソフトウェアに基づくフラッグシップ製品を無料で提供しつつ、17年に29億ドル（約3,270億円）の売上を生み出した。顧客がレッドハットにお金を払う理由は、技術サポートと、自社が依存しているソフトウェアの開発者たちと正式に契約できるという安心感だ。

しかし、そこまで規模がないオープンソースプロジェクトの場合は、会社をつくるのは難しいし、レッドハットのモデルはそれほどうまくいかない。それに顧客企業のほうも、独立系のソフトウェア開発者たちと数十件、数百件の契約を結ぶことを必ずしも望んではいない。

タイドリフトは、そうした開発者たちを1カ所に集約することで、この問題を解消しようとしている。顧客がタイドリフトにお金を払うことで、開発者は営業やマーケティングではなくコードに集中できる。

タイドリフトの最高経営責任者（CEO）であるドナルド・フィッシャーは、「こうしたサーヴィスが存在しない理由がわからなかったので、われわれがつくりました」と語る。フィッシャーはレッドハットの幹部だったが、オープンソースのほかのヴェテランたちと一緒にタイドリフトを創業した。

顧客には一定の保証を提供

タイドリフトはレッドハットと異なり、技術サポートは提供しないし、オープンソースプロジェクトを保守する開発者を雇用しているわけでもない。顧客に提供するのは一定の保証だ。

タイドリフトは契約した顧客のコードを分析し、コードが依存しているオープンソースのソフトウェアや、そのソフトウェアが依存しているオープンソースのプロジェクトを把握する。そして、顧客が依存している参加プロジェクトの数に基づき、サブスクリプション料を請求する。

潜在的な問題を探るため、顧客が利用しているオープンソースソフトウェアのライセンスの分析も行う。また、既知のセキュリティー脆弱性を調べ、セキュリティー修正の最新情報を顧客に提供している。

タイドリフトに参加するオープンソース開発者は、ソフトウェアに既知の脆弱性が含まれないように努めるとともに、ソフトウェアの保守に取り組まなくてはならない。加えて、セキュリティー問題、機能更新、その他の技術的な問題について、タイドリフトとサブスクリプション契約者に連絡することを約束する。

「タイドリフトのために行うことは、どのみちやらなければならないことなんです」とチューは語る。

開発者による脆弱性の発見を後押し

タイドリフトは、未知のセキュリティー問題の発見や修正については約束しない。そうではなく、米国の大手信用調査会社エキファックス（Equifax）で起きたような問題を、顧客が回避できるようにすることを目指している。

エキファックスは17年、同社が保持していた1億4,300万人以上の重要個人情報にハッカーがアクセスしていたことを明らかにした［日本語版記事］。ウェブアプリケーションのためのオープンソースソフトウェア「Apache Struts」の脆弱性を通じてのことだった。開発チームはこの脆弱性をすでに修正していたが、エキファックスは最新版を使っていなかったのである。

理論的に言えばタイドリフトは、セキュリティー上のもうひとつの大きな問題の解決にも役立つ可能性がある。有志によるオープンソースプロジェクトは、広範囲のセキュリティー監査を行うだけのリソースがなく、このことがセキュリティーホールにつながっている。

例えば14年には、セキュリティー研究者らが「OpenSSL」と「Bash」の深刻な脆弱性を明らかにした。OpenSSLはクレジットカード決済を処理しているほぼすべてのサイトで使われているし、Bashは膨大な数のOSに入っている。

フィッシャーは、目立たないオープンソースプロジェクトに提供される資金を増やすことで、OpenSSLの「Heartbleed［日本語版記事］」やBashの「Shellshock」のように脆弱性が危機的になる前に、開発者が問題を発見し修正できるようになればと考えている。

まだ支払は多くないが…

いまのところ、タイドリフトが開発者にもたらす対価はそれほど多くない。タイドリフトは、顧客の数も顧客の社名も明らかにしていない。チューは、タイドリフトからは生活していけるような支払いはまだ得られていないと話している。

ヴェンチャーキャピタルから1,500万ドル（約17億円）を調達したタイドリフトは先日、同社のプログラムに新たに参加する開発者向けに100万ドルを確保したと発表した。開発者には、これから2年間で少なくとも10,000ドル（約113万円）が支払われる。

これは、フルタイムの開発者1人の支払いにも足りない。しかし、チューのような開発者が生計を立てる足しにはなる（チューは現在、Babelのウェブサイトで、フェイスブックやエアビーアンドビーのような会社がお金を払い、スポンサーになれるようにしている）。参加する開発者が増えるほど、タイドリフトが顧客に提供できる潜在的な価値は高まることになるのだ。