GitHubがオープンソース開発にまつわる8400件のアンケート結果を公開、セキュリティを重視しAI利用が増加

ソフトウェア開発プラットフォームのGitHubが、GitHubのユーザーから得られた8400件分のアンケート結果をまとめて公開しました。オープンソースプロジェクトにおけるセキュリティ問題やAIに関連した問題などについて、データが共有されています。

Seven years of open source: A more secure and diverse ecosystem - The GitHub Blog
https://github.blog/news-insights/seven-years-of-open-source-a-more-secure-and-diverse-ecosystem/

Open Source Survey 2024
https://opensourcesurvey.org/2024/

以下は、2024年の調査から得られた情報です。

◆オープンソースソフトウェアを利用するかどうかを考えるとき、以下の項目はどの程度重要ですか？
各項目は上から順に以下の通りです。また、各色は、左から順に「とても重要」「やや重要」「どちらでもない」「やや重要でない」「とても重要でない」「これが何かわからない」を示しています。
・積極的な開発
・責任感のあるメンテナー
・オープンソースライセンス
・セキュア バイ デザイン
・歓迎されるコミュニティ
・貢献ガイド
・広範な利用
・行動規範
・貢献者のライセンス契約(CLA)

◆オープンソースソフトウェアに貢献するかどうかを考えるとき、以下の項目はどの程度重要ですか？

上記2つの質問に見られた「セキュア バイ デザイン」とは、ソフトウェアメーカーに対し、安全な設計の製品を出荷するために必要な緊急措置を講じ、安全な設計の製品のみを顧客に出荷できるように設計および開発プログラムを刷新するよう促す共同ガイダンスです。セキュア バイ デザインに関する質問は2024年から導入されたもので、GitHubは「利用者の82％が、プロジェクトの利用を決定する際にセキュリティが不可欠であると考え、62％が、貢献するかどうかを選択する際にセキュリティが重要であると考えています。プロジェクトのセキュリティ向上は、貢献の重要な動機となっています」と言及しました。

◆オープンソースのAIモデルをコードベースに組み込むことに関するあなたの雇用主のポリシーに最も近いのはどれですか？
選択肢は左から、「推奨される」「適切なツールであれば許可される」「わからない」「確固たるポリシーはない」「稀に許可されることもある」です。

◆オープンソースの依存関係をコードベースに組み込むことに関するあなたの雇用主のポリシーに最も近いのはどれですか？

上記2つの回答結果から、GitHubは「雇用者の35％がオープンソースのAIモデルの使用を許可していない一方で、従来のオープンソース依存関係に関して同様の不確実性を表明しているのはわずか17％にとどまりました。興味深いことに、従来のオープンソースの依存関係と比較して、AIモデルを使用する能力に確信が持てない開発者の割合が高くなっています」と考察しています。

◆次の各活動に従事または観察する頻度はどのくらいですか？
項目は上から以下の通りです。各色は、左から「頻繁にある」「たまにある」「めったにない」「一度もない」を表しています。
・AIの支援を受けてコードや文書を書く
・ソフトウェア開発をサポートするその他のタスクでAIの支援を利用する
・AIを活用した機能を提供するために、公開されているAIモデルを使用するプロジェクトに貢献する
・AIインフラストラクチャ(モデル、データセット、オーケストレーション、評価など)を開発するプロジェクトに貢献する
・AIを活用した機能を提供するために、一般公開されていないAIモデル(APIを通じてのみアクセス可能など)を使用するプロジェクトに貢献する。
・上記のいずれかを行う際には、適用される倫理/ガバナンス/責任/安全性/セキュリティのプラクティスを認識し、それに従う

また、AIモデルまたはAIインフラストラクチャを使用するプロジェクトに貢献している回答者だけに絞った、「上記のいずれかを行う際には、適用される倫理/ガバナンス/責任/安全性/セキュリティのプラクティスを認識し、それに従う」と回答した人の割合は以下のようになっています。AIを使うプロジェクトに貢献している人は、「一度もない」の回答割合が減り、「たまにある」の割合が増えました。

以上の点からGitHubは「AIプロジェクトに貢献している開発者は、責任あるAIプラクティスとベストプラクティスに対する認識が全体的に高いと報告しています。AIプロジェクトに貢献したことがない人は74％であるのに対し、AIツールを使用したことがある人は73％と多く、貢献よりも使用の方がより一般的であることがわかりました」と報告しました。

◆あなたは現在、生まれた国以外の国に住んでいますか？
項目は以下の通り。
・いいえ、私は生まれた国に住んでいます
・はい、永住するつもりです
・はい、将来の計画についてはわかりません
・はい、一時的に滞在するつもりです

◆あなたが生まれた国を考えてみて、あなたはその国でマイノリティとみなされる民族や国籍のメンバーですか？
・いいえ
・はい
・よく分からない
・答えたくない

コミュニティにおける多様性について、GitHubは「オープンソース・コミュニティ内の多様性は年々着実に増加しています。2024年には、回答者の30％が移民であると認識しており、2017年の26％から増加しています。さらに、母国においてマイノリティであると認識していない回答者の割合は79％から70％に減少しており、コミュニティにおけるより幅広い視点や背景を反映しています」と伝えました。

◆直近でハラスメントを受けたとき、どのように対応しましたか？当てはまるものをすべて選んでください
・反応しなかった／無視した
・嫌がらせをしてきたユーザーをブロックした
・嫌がらせ行為をやめるようユーザーに頼んだ
・プロジェクトのメンテナーに報告した
・他のコミュニティメンバーからの支援を求めた
・ホスティングサービスやISPに報告した
・その他
・法律顧問や弁護士に相談した
・法執行機関に連絡した

GitHubは「調査では、2017年以降、ハラスメントに対するコミュニティのアプローチに大きな変化があることが明らかになりました。2017年には49％の回答者がハラスメントを無視すると回答していましたが、2024年には38％に減少しました。この変化は、オープンソースコミュニティ内で積極的な行動が増加したことを浮き彫りにしており、より多くの個人がハラスメントに直接対処するためにブロックやインシデントの報告などの措置を取ったことを示しています」と述べています。

◆あなたの年齢は？
興味深いのは、初回調査の2017年に比べて年齢を公表しないと答えた人が大きく減っていることです。

◆次のうち、ソフトウェア開発における帰属に関するあなたの信念に最も近いものはどれですか？
濃い青は「匿名を望む人は、帰属表示なしでコードを貢献できるようにすべきである」、薄い青は「エンドユーザーが、自分たちが作業しているソースコードを誰が作成したかを知ることができるように、作者の記録を義務づけるべきである」です。

◆あなたの帰属意識について最もよく近いのは次のうちどれですか？
選択肢は、左から「本名を明記している」「ネット上で本名とリンクしやすい一貫したペンネームを使って貢献している」「ネット上では本名とリンクしない一貫したペンネームを使って貢献している」「プロジェクトごとに異なるペンネームを使うようにしている」です。この一連の質問に関してGitHubは「匿名でのコード投稿を支持する回答者は60％から51％に減少し、ペンネームで投稿する人が増えました。これらの変化は、包括的なコラボレーションを促進するための、安全でプライバシーを尊重したツールとプロセスの重要性を浮き彫りにしています」と述べています。

◆オープンソースへの財政的支援について、以下の各項目はどのくらいの頻度で実行していますか？あるいは実行されているのをどれくらいの頻度で見かけますか？
上から順に「私の国の投資家は、オープンソースに貢献する新興企業に資金を提供している」「政府がオープンソースプロジェクトを財政的に支援している」「政府はオープンソースプロジェクトを現物で支援している」「雇用主がオープンソースプロジェクトを現物で支援している」「私が他人のオープンソースプロジェクトを財政的に支援している」「雇用主がオープンソースプロジェクトを財政的に支援している」となっています。

GitHubは「2024年は、雇用主、政府、および投資家からのオープンソースに対する財政的および現物支援のレベルを調査しました。頻繁に支援を行っている、または支援を行っていると回答した人はごく少数でしたが、ほとんどのカテゴリで全く支援を行っていないと回答した人は50％に過ぎず、オープンソースの持続可能性には成長の余地と潜在的な投資があることを示しています」と述べました。

最後に、GitHubは「オープンソースを前進させるため、私たちは組織、政府、資金提供者に対し、資金提供、リソース提供、オープンソースコミュニティとの直接的な協力など、エコシステムへの投資を呼びかけます。私たちは共に、より強く、より多様で、安全なオープンソースの未来を形作ることができるのです」と呼びかけました。