一般的な企業内で動いているソフトウェアの大半は、その企業が一度も報酬を払ったことのないボランティアの手によって書かれています。オープンソースコードは、Webアプリ、ビルドパイプライン、そしていま大きな注目を集める機械学習スタックの土台を支えています。コードベースのおよそ96パーセントには何らかの形でオープンソースが組み込まれています。

この依存関係が誰の目にも明らかになったのは2021年12月、log4jの脆弱性によってTwitterからMinecraftに至るまでのアプリケーションが危険にさらされたときでした。2024年のxz utilsバックドア事件も、改めてこの問題を突きつけました。どちらのケースも、何十億ものシステムが頼りにしているコードを、しばしば本業の合間を縫って世話をしている少人数のボランティアチームに行き着きます。
個人開発者から大手テック企業まで、誰もがこのコードを無料で使っていますが、何かを還元する義務を負う者はほとんどいません。メンテナーは燃え尽きていきます。インターネットの巨大な部分を支えるプロジェクトが、一握りの人々と多くの善意によって成り立っているのが実情です。
各国政府も、これを自分たちの問題として捉え始めています。ドイツのSovereign Tech Fundは2022年、連邦経済・気候保護省の下でSPRINDがホストする形で始まりました。同基金はオープンソースプロジェクトと保守契約を結び、契約額は5万ユーロから始まり、期間は数か月から数年に及びます。
2024年11月、この基金はSovereign Tech Agencyへと発展しました。現在のラインナップは100を優に超えるプロジェクトをカバーしており、開発者向け、セキュリティ対策向けの姉妹プログラムも展開しています。
では、この資金は何を生み出しているのでしょうか。新たな研究が、まさにこの問いに切り込んでいます。同エージェンシーのデータサイエンティストであるLaia Domenech Burin氏は、保守に資金を提供することでプロジェクトの成果物が変わるかどうかを数値で検証しました。手法としては、資金を得られなかった類似プロジェクトを組み合わせて各支援対象プロジェクトの「代替」を構築し、支援を受けたプロジェクトがそれを上回るかどうかを確認するというものです。
公平な比較を成立させることが最大の難関でした。同氏はまず、他の多くのソフトウェアが依存している多数のオープンソースプロジェクトのリストを作成し、依存リポジトリ数やスター数、フォーク数といった指標で支援対象プロジェクトと似た性質を持つものを選び出し、最終的に12の支援対象プロジェクトを62の非支援プロジェクトと比較する形にまとめました。活動データは2015年まで遡っています。
資金提供の中心にあるのは4つのプロジェクトです。Python Package Index、curl、Fortranツール群、そしてRubyGemsです。これらはいずれも日々の開発を支える基幹的な存在です。curlだけでも、スマートフォンや自動車、テレビ、医療機器を合わせて200億件を超えるインストール実績を報告しています。資金提供を受けた期間中、curlは既知のバグ100件以上に対処し、HTTPプロトコルの新しいバージョンへの対応も追加しました。
結果を端的に言えば、資金はコードを動かします。支援を受けたプロジェクトでは、コミット数、新規の変更リクエスト数、マージされた変更リクエスト数のいずれもが実際に増加しました。新規イシューの件数も増えています。全体として見えてくるのは、契約締結後の数四半期における開発活動の急増です。
しかもその急増ぶりは顕著です。コミット数はおよそ2倍以上に増え、資金提供がなかった場合に想定される水準と比べて約144パーセント増となりました。新規イシューの増加幅が最も大きく、2倍を優に超える伸びを見せています。変更リクエスト数も同程度の幅で変動しました。これらの数値には幅のある誤差が伴うため、正確な数字というよりは傾向を示すものと捉えるべきでしょう。
一方で、変化が見られなかった項目が3つあります。コントリビューターの人数はほとんど動きませんでした。リリース頻度は横ばいで、クローズされたイシューの件数もほぼ変わりませんでした。つまり資金は、すでに関わっている人々からより多くの成果を引き出す効果はあったものの、新しい人材を呼び込む効果は乏しく、未処理案件の山もほぼそのまま残った、ということです。
この組み合わせこそ、じっくり考える価値のあるポイントです。プロジェクトに資金を投じれば、現在のメンテナーの作業スピードは上がります。しかし人手不足はそのまま人手不足として残ります。Domenech Burin氏はこれらの指標を「コンパスのようなものだ。方向は示すが、目的地までは示さない」と表現しています。
この研究は4つのプロジェクト、12のリポジトリを対象としたもので、大きな結論を導くにはやや薄いデータ基盤と言えます。新規イシューの急増という結果も、二通りの解釈が可能です。積極的なコミュニティがバグ報告を活発に行っている証拠とも取れますし、誰も手をつける時間のない未処理案件が積み上がっている兆候とも取れます。
ここには、企業であれ政府であれ、オープンソースに資金を出そうとするすべての人にとって教訓があります。コントリビューター基盤の拡大やバックログの解消は、同エージェンシーが手がける他の取り組み、すなわち開発者向けフェローシップや脆弱性対策を目的としたレジリエンスプログラムの領分です。保守契約の成果をコントリビューター数で評価してしまえば、見るべき指標を見誤ることになります。
物差しは目的に合わせるべきです。保守に資金を出すファンドが買っているのは、現メンテナーによるスピードです。コミュニティの拡大や積み残し案件の解消は別の仕事であり、それぞれ独自の予算と独自の評価基準を必要とします。資金は重要なインフラを動かし続けます。しかし、それを支える人々を維持し続けることは、また別の課題なのです。
翻訳元: https://www.helpnetsecurity.com/2026/07/16/open-source-projects-funding-impact/