最も使用されているオープンソースアプリケーションライブラリの調査結果を発表、IntelがRISC-Vに1000億円超の投資、ほか

連載 [第18回] :

2022年3月31日(木)

こんにちは、吉田です。今回は、まずLinux Foundationとハーバード大学イノベーション科学研究所が共同で調査した「Census II of Free and Open Source Software – Application Libraries」について紹介します。

最も使用されている
オープンソースアプリケーションライブラリは何か?

この調査は、商用およびエンタープライズアプリケーションのスキャンから発見された1,000以上の最も広く展開されているオープンソースアプリケーションライブラリを特定する調査で、どのオープンソースパッケージ/コンポーネント/プロジェクトが、プロアクティブな運用とセキュリティサポートを必要とするかを明らかにしています。

【参照】Census II of Free and Open Source Software – Application Libraries
https://riscv.org/news/2022/02/intel-corporation-makes-deep-investment-in-risc-v-community-to-accelerate-innovation-in-open-computing/

そもそもこのCensusプロジェクト(Census I)は、Debian Linux ディストリビューションのどのソフトウェアパッケージがLinuxサーバーの運用とセキュリティに最も重要かを特定するため2015年に実施されたプロジェクトです。今回の調査(Census II)は、Census Iの続きとして公共/民間組織が開発するアプリケーションの中で、どのオープンソースソフトウェアが最も広く展開されているか調査することを目的としています。

Census IIは、Software Composition Analysis(SCA：ソフトウェアコンポジション解析)のパートナーであるSnyk、Synopsys Cybersecurity Research Center(CyRC)、FOSSAにより提供される匿名化された使用データを分析することにより、フリーアンドオープンソースソフトウェア(FOSS)の採用状況についてより完全な全体像が明らかになります。

Census IIでは、SCAパートナーから報告されたデータに基づいて、8つのトップ500リスト(バージョン番号を含む4つのリストとバージョンに依存しない4つのリスト)を作成しています。

例えば、この調査により、アプリケーションで直接呼び出されるnpmパッケージマネージャーで利用可能な、バージョンに依存しない上位10個のパッケージは次のようになります。

lodash
react
axios
debug
@babel/core
express
semver
uuid
react-dom
jquery

上記以外のランキングについても興味のある方は、調査レポートを読むことをお勧めします。

また、このレポートでは、以下の5つの調査結果を明らかにしています。

アプリケーションライブラリを一意に識別できるようにするための、ソフトウェアコンポーネントの標準化された命名規則の必要性
パッケージのバージョニングに関連する複雑さー SBOMガイダンスは、プライベートリポジトリではなく、そのパッケージの公開「メイン」リポジトリと一致するバージョニング情報を反映する必要がある
最も広く使用されているFOSSの多くは、ほんの一握りの貢献者により開発ーあるデータセットによると、上位50のパッケージに追加されたコードの80%以上は136人の開発者により担われている
開発者個人のアカウントセキュリティの重要性の高まりー OpenSSFは、より高いアカウントセキュリティを実現するために、MFAトークンまたは組織アカウントの使用を推奨している
オープンソースにおけるレガシーソフトウェアの持続性

このような調査結果により、どのようなOSSが重要なサポートを必要としているかが明確になっていきます。今後もこのような調査を継続して、情報発信することに大きな意義があると思います。

Intelが1000億円超えのファンドを設立し
オープンソースのRISC-Vに投資

オープンなRISC命令セットアーキテクチャ(ISA)を推進する非営利団体RISC-V Internationalは2月7日(スイス時間)、米Intelがプレミア(Premier)会員として加盟することを発表しました。

【参照リリース】Intel Corporation Makes Deep Investment in RISC-V Community to Accelerate Innovation in Open Computing
https://openssf.org/press-release/2022/02/01/openssf-announces-the-alpha-omega-project-to-improve-software-supply-chain-security-for-10000-oss-projects/

RISC-Vは、オープンかつ無料で使えるプロセッサの命令セットで、電力効率の高いプロセッサを実現可能な点が特徴とされています。RISC-Vは2010年にカリフォルニア大学バークレイ校のコンピュータサイエンス科でプロジェクトがスタートしました。その後、2015年にRISC-V ISA(Instruction Set Architecture)をベースとしたソフトウェアとハードウェアのコミュニティとしてThe RISC-V Foundationを設立され、2020年にはスイスにRISC-V Internationalが設立されました。メンバーシップ構成も新しくなっています。

現在はGoogle、NVIDIA、Qualcomm、Samsung、IBM、Micron、Mellanoxなどを含む100社以上の企業が参加しており、今回Intelが加わる最上位のPremierレベルの企業には、Google(米Alphabet)、中国科学院、米Western Digital Technologiesなどの設立メンバーのほか、Alibaba Cloud、Huawei Technologiesなどが名を連ねています。

なぜ、元々「RISC」と対極にある「CISC」と呼ばれ複雑な命令を処理するCPUを開発していたIntelがRISC-Vに加盟したのでしょうか。同社のファウンドリ事業部門「IFS(Intel Foundry Services)」は、複数のISA上で構築された設計を活用することにより、ファウンドリ大手のTSMCやSamsung Electronicsとの競争を繰り広げていく考えのようで、Intelは「x86、Arm、RISC-V向けに最適化されたIP(Intellectual Property)を提供するファウンドリは当社だけだ」と主張しています。このことからも「RISC-Vがx86とArmに並ぶ主要なチップアーキテクチャになる」ことを認めているようです。

そのようなこともあり、自社で運営するファウンドリ事業のイノベーション促進に向けて10億ドル(約1150億円)の基金を設立すると発表しています。ファウンドリ事業の顧客に有益な破壊的技術を作り出す外部企業などに投資する。Intel自身が持つ技術だけでなく、外部の企業などが持つ有用な技術も取り込み、ファウンドリ事業の顧客をより多く獲得することが狙いだと言われています。

CPUの領域でもオープンソースを起点に新しいイノベーションが進んでいることを実感できる出来事です。

Linux Foundation認定ITプロフェッショナルが
2021年に50%増ー業界の人材不足解消の助けに

Linux Foundationは、オープンソースの人材不足に対応するため、これまで以上に多くの個人が同団体のトレーニングや認定を受け、2021年が記録的な1年となったことを発表しました。これには、すべてのテクのロジーを重視する分野で認定試験に合格した個人が50%増加したことも含まれています。

【参照リリース】Linux Foundation認定ITプロフェッショナルが2021年に50%増ー業界の人材不足解消の助けに
https://training.linuxfoundation.org/ja/blog/linux-foundation-certified-50-more-it-professionals-in-2021-helping-to-address-industry-wide-talent-shortage/

Linux Foundationは、新たにDevSecOps、GitOps、Kubernetes、Node.js、RISC-V、Hyperledger、WebAssemblyなど30のトレーニングコースを追加しました。これらのテクノロジーは、現代のインフラストラクチャの最も重要な部分を構成しているため、この分野の知識を高めることで自分を差別化しようとする開発者からの高い需要が見られます。実際、有料コースの登録者数は前年比で30%増加し、無料のLinux Foundationオンラインコースの登録者数は200万人を突破しました。

LinuxやKubernetesなどのホットトピックが前年比50%増となったことからもわかるように、オープンソース開発者コミュニティでは認定資格も最重要視されています。2021年に開始された新しい認定試験には、Kubernetes & Cloud Native Associate(KCNA)やCertified TARS Application Developer(CTAD)があり、これらは雇用主から最も求められているスキルであるクラウドネイティブテクノロジーの知識を専門家が実証できるよう設計されています。これらのトレーニングコースへの参加や認定取得が増加した背景には、世界的にクラウドネイティブの採用が急速に進んでいることが大きく影響していると考えられます。例えば、Cloud Native Computing Foundation(CNCF)のKubernetesプロジェクトでは、168カ国のKubernetesコントリビューターが42%増加しました。特に日本などではさらに大きな成長が見られ、認定資格取得者は2020年から60%も増加しました。

また、Linux Foundation Training & Certificationは、LiFTスカラーシッププログラムを通じて、トレーニングコースと認定試験を受けるための奨学金を500人に授与しました。さらに、Blacks in Technology、Women Who Code、TransTech Social Enterprises、Hacking the Workforceなどの非営利団体と提携し、数百人分ものトレーニングや認定取得のための奨学金をコミュニティに提供しました。

このようにLinux関連の認定資格を取得することが日本だけではなく、欧米でも活発化していることは非常に興味深いことです。新しい技術を身につけようと思ったときに資格取得を視野に入れながら学習すると習得しやすいかもしれません。

リモートワークで自由使える時間が増えた技術者の方は、資格取得を検討してみてはいかがでしょうか。

Linux Foundation / Cloud Native Conputing Foundation

著者

吉田行男

この著者の記事一覧この著者の
記事一覧

2000年頃からメーカー系SIerにて、Linux/OSSのビジネス推進、技術検証を実施、OSS全般の活用を目指したビジネスの立ち上げに従事。また、社内のみならず、講演執筆活動を社外でも積極的にOSSの普及活動を実施してきた。2019年より独立し、オープンソースの活用支援やコンプライアンス管理の社内フローの構築支援を実施している。