ハクソク

世界を動かす技術を、日本語で。

ディスコースはクローズドソースにはならない

2026年4月17日原文(blog.discourse.org)

概要

  • Cal.com がオープンソースを終了し、セキュリティ上の理由でコードを非公開化
  • AIの進化で脆弱性発見が高速化し、透明性がリスクと認識される現状
  • Discourse は引き続きオープンソースを維持する方針を明言
  • クローズド化は本質的なセキュリティ対策ではなく、競争・ガバナンス要因が大きいと指摘
  • AI時代でもオープンソースの防御力とコミュニティの価値を強調

Cal.comのクローズド化発表とその理由

  • Cal.com がオープンソースを終了し、今後はクローズドソース製品へ移行
  • AIによる自動脆弱性スキャンが SaaS企業 にとって大きな脅威となっている現状
  • コードの透明性が「露出」に変わり、攻撃者がAIで簡単に悪用できるリスク増大
  • 業界の変化とAIの進化スピードへの危機感

Discourseの立場とオープンソース継続宣言

  • Discourse は設立以来、一貫して GPLv2ライセンス でオープンソースを継続
  • 今後もソースコードの公開方針を変更しないことを明言
  • オープンソースのままでも、AIを活用して脆弱性を積極的に発見・修正する運用
  • AIセキュリティツール (GPT-5.3 Codex, GPT-5.4, Claude Opus 4.6等)で多くの潜在的脆弱性を発見
  • OpenAIAnthropic もAIによる脆弱性発見のリスクを認識し、慎重に新モデルを公開

クローズドソースの議論と反論

  • Cal.comの主張: 「攻撃者がAIでコードを解析し悪用するので、コードを隠すべき」
    • 一部真実だが、AIはバイナリやAPIからも脆弱性を発見可能
    • ウェブアプリはクライアント側のコードやAPIが常に公開されており、完全な隠蔽は不可能
    • クローズド化は 「守り手」 の数を減らすだけで、攻撃面の露出は大きく変わらない
  • オープンソースの強み:世界中の 攻撃者・防御者・研究者・開発者 による継続的な監査と強化
  • 透明性はリスクをゼロにはしないが、より多くの防御者が早期発見・修正に関与できる利点

AI時代のセキュリティとオープンソースの優位性

  • AIによる脆弱性発見が 高速・大量 に可能となり、攻撃者・防御者双方が利用
  • オープンソースであれば、 社内チーム・外部貢献者・独立研究者 も同じツールで防御可能
  • クローズドソースの場合、攻撃者は外部から解析し続ける一方で、防御側の人数は制限される
  • Discourseでは AIスキャンの結果 を毎リリースに反映し、迅速なパッチ配布体制を構築
  • コード公開による「見られる前提」の危機感が、積極的なセキュリティ対策を促進

クローズド化の本当の理由とビジネス的側面

  • 実際のクローズド化動機は 競争圧力ガバナンス負担
    • コードが公開されていると、競合他社が容易に模倣・フォークできるリスク
    • オープンソースコミュニティからの意見・要望・フォーク圧力への対応疲弊
    • 投資家からの「なぜ資産を無料で公開しているのか」というプレッシャー
  • これらは正当なビジネス上の悩みであり、 セキュリティの問題とは本質的に異なる
  • セキュリティを理由にしたクローズド化は、オープンソースエコシステムへの不誠実な対応

Discourseのセキュリティ運用とAI活用

  • 毎リリースごとに最新AIスキャナ(GPT-5.4 xhigh、Opus 4.7 max等)で 全コードベースを多日間分析
  • コントローラごとに独立して脆弱性を洗い出し、AIが自動生成したテストで実証できたもののみを人間が精査
  • AIスキャンコストは大幅に低下し、 高品質なセキュリティ分析 が安価に実現
  • バグバウンティ もオープンソースだからこそ、研究者が容易に本質的な分析・報告が可能
  • アーキテクチャ面でも サンドボックス・レートリミット・CSP・権限分離 など多層防御を徹底

オープンソースの価値とエコシステムへの責任

  • Discourseは Ruby, Rails, PostgreSQL, Redis, Ember, Linux など多くのオープンソースに支えられて成長
  • コミュニティへの恩返しとして、今後も オープンソース を維持する姿勢
  • コードをクローズドにすることは、過去のコミュニティ貢献を無にする行為
  • 13年のオープンソース運用で、公開がセキュリティリスクを高めた明確な証拠はなし
  • 発見された脆弱性は責任ある開示と迅速な修正で対応し、エコシステム全体の安全性向上に寄与

まとめ:AI時代におけるオープンソースの意義

  • AIの進化 はセキュリティの前提を変えたが、防御側も同じ武器を使えるのがオープンソースの強み
  • クローズド化は一時的な「隠蔽」に過ぎず、根本的な防御力向上には繋がらない
  • 真の防御は、 透明性・多層防御・迅速な対応・コミュニティ連携 によるセキュリティ文化の構築
  • Discourseは今後もオープンソースであり続け、AI時代にふさわしいセキュリティ運用を追求

Hackerたちの意見

大部分はユーザーのブラウザにリクエストごとに直接配信されるんだよね。JavaScriptとか…。おお、今はJS重視のシングルページアプリから、普通のHTMLフォームと最小限のJSだけで強化したマルチページアプリに戻るように人を説得したい気分だよ。セキュリティのためにね。(夢見させてくれよ。)

Web3の世界には嫌なことがたくさんあるけど、バックボタンのフォーム再送信やリダイレクトループが嫌われるのはちょっと変だね。

最近、ウェブがすごく敵対的になってきて、正直言ってJavaScriptは安全でも役に立たなくなってるよ。今や広告やトラッカー、ペイウォールを提供するためだけに使われてる感じ。スクリプトを無効にしてウェブサイトが読めないなら、それは私向けじゃないってことだし、もう読まないよ。

Cal.comに対しては公正でありたいと思ってる。彼らが悪意を持って行動しているとは思わない。ただ、セキュリティの議論は実際には別のことに関する決定を便利にフレーム化しているだけだと思う。[…] ビジネスの決定をセキュリティの必然性としてフレーミングするのは、Cal.comがここまで来るのを助けたオープンソースのエコシステムに対して失礼だよ。俺にはそれが悪意に聞こえる。

悪意ってのは、ただ悪いだけじゃなくて、意図的に悪くしようとすることが必要なんだよね。

記事の残りの部分は「彼らが悪意を持って行動しているとは思わない」と対比してる。この部分が気になる: > 5年間のコミュニティの貢献を受けて、ゲートを閉じて感謝しているとは言えないよね。そんな風にはいかないと思う。サムはCal.comの決定やそのフレーミングに感銘を受けてないって言ってもいいんじゃないかな。

この記事は、「力がありすぎる」という理由でモデルを隠すことに反対する議論を強化する良いポイントがたくさんあるね。AI企業が特別なホワイトリスト以外には誰にも提供しないプライベートモデルの強さを自慢しているのを見ると、がっかりするよ。これって、攻撃者にとっては防御の可能性がない入り口を与えるだけで、逆効果だと思う。

「力がありすぎる」ってのは、マーケティングにも役立つ便利な半分の真実だと思うし、もっと重要なのは、モデルが短期的に精製されるのを防ぐことだね。KYCの後か、次世代の「信頼できるパートナー」に提供する準備が整ったら「一般に公開する」って感じだろう。

オープンソースは有用な緊急性を生み出す。コードが公開されていると、細かく調べられることを前提にするから、攻撃者が来る前に問題を見つけて修正するために早く、かつ積極的に投資するようになるべきだ。これがオープンソースをやる企業のメンタリティであるべきだね。素晴らしいポイントだ。

これは製品を作るすべての企業のメンタリティであるべきだね :)

「10年以上前に、リポジトリはGPLv2の下でライセンスされている。そしてそれは変わらない」まあ、GPLv2のフォークは続けられるから、結局Cal.comが何をするかはあまり関係ないよね。それがGPLの魅力でもあるし。厳格なライセンスだと思う。Linuxカーネルにとっては、BSD/MITよりもGPLv2の方が良い選択だったと思う。 > あのコードは、攻撃者、防御者、研究者、クラウドベンダー、メンテナンス担当者から常に scrutinized(監視)されている。絶え間なく攻撃されているけど、同時に絶え間なく強化もされている。Cal.comがディスコースから離れるのはビジネス上の決定だろうけど、セキュリティに関してオープンソースがクローズドソースより自動的に優れているという主張は変だよね。xz utilsのバックドアを覚えてる?人々は最終的にこれに気づいたけど。さて、どれだけのトロイの木馬が存在していて、人々が気づいていないんだろう?もっと洗練されたバックドアがあるかもしれないし、AIがそれを隠す手助けをしているかもしれない。オープンソースだからと言って、自動的にセキュリティが良いとは限らないと思う。ソフトウェアを信頼できる?カリフォルニアでは、プラスチック製の銃を抑制するために3Dプリントをさらに制限する最近の検閲法案があるけど、実際には業界からのロビー活動によるものだよね。3Dプリンターは制限されていない3Dプリンターを印刷できるの?州が法律で人々を監視するのも制限じゃないの?クリーンなオープンハードウェアとオープンソフトウェアのシステムが連携して機能することは可能だと思うけど、それを示さなきゃいけないよね。この古い「信頼」についての議論を見てみて: https://old.reddit.com/r/programming/comments/1m4mwn/a_simpl...

かなり面白いスレッドだね。投稿者の大半がポイントを全然理解してないみたい。

Hacker Newsで議論の続きを見る