プロテストウェア:ソフトウェア開発と社会運動の出会い
プロテストウェアがソフトウェア開発やコミュニティの反応に与える影響を調べる。
Youmei Fan, Dong Wang, Supatsara Wattanakriengkrai, Hathaichanok Damrongsiri, Christoph Treude, Hideaki Hata, Raula Gaikovina Kula
― 1 分で読む
目次
最近、オープンソースソフトウェアの開発者が社会的・政治的な問題を訴えるために自分たちの作品を傷つけることを心配する声が高まってる。この行為は「プロテストウェア」として知られている。この記事では、プロテストウェアに対するさまざまな意見、コミュニティの反応、こうした事件が起きたときに開発者がどのように行動するかについて話すよ。
プロテストウェアって何?
プロテストウェアは、ソフトウェア開発者が特定の問題に対抗するために自分のプロジェクトを抗議の道具にすることを指す。これには、社会問題や政治的危機、業界の不正を表現するためにコードを使うことが含まれる。一部の人はこれを有意義な表現と考えているが、他の人は有害で無責任だと見なしている。
プロテストウェアの問題点
開発者がプロテストウェアを使うと、そのソフトウェアのユーザーに問題を引き起こすことがある。多くの現代アプリケーションはサードパーティのライブラリに大きく依存しているから、もしそのライブラリのひとつがプロテストウェアを含んでいたら、多くのプロジェクトに影響が出るかもしれない。これにより、ソフトウェアコミュニティ内の信頼が損なわれ、開発者がライブラリを使い続けるべきか、代替を探すべきかという難しい決断を迫られることがある。
ケーススタディ
この分析では、特にプロテストウェアの2つのケース、color.jsとes5-extに焦点を当てる。これらのライブラリはかなり使われていて、そのプロテストウェアの事例は特に影響力が大きい。
color.js
color.jsのメンテイナーは、このライブラリを使ってウクライナの戦争に反対するメッセージを送った。ユーザーがこのライブラリをインストールすると、ロシアのユーザーに向けたメッセージが表示される。この行動は政治的な声明だけど、ソフトウェアをこんなふうに変更することの倫理的な影響についての懸念も呼び起こした。
es5-ext
同様に、es5-extのメンテイナーも、ユーザーに影響を与える変更を加えた。どちらのケースも、プロテストウェアが迅速に広がり、ソフトウェアエコシステムに影響を与えることを示している。
プロテストウェアの広がり方
プロテストウェアについての議論はしばしば速く進むけど、通常はセキュリティの脆弱性に関する議論ほど早く広がらない。研究によれば、人気のあるライブラリにプロテストウェアが導入されると、数日で何百人もの開発者がその話を始めることがある。でも、セキュリティの欠陥についての懸念がどれほど早く広まるかと比べると、プロテストウェアの議論は遅れがちだ。
コミュニティの反応
プロテストウェアに対するコミュニティの反応はさまざまだ。一部の開発者は抗議者を支持して、その行動を有意義な懸念の表現だと見なす。一方で、ソフトウェアの使いやすさを損なってまで意見を表明すべきではないと考える人も多い。この分断は、開発者同士の熱い議論や有害なやりとりにつながることがある。
コミュニティの声を分析する
コメントやソーシャルメディアの議論を分析すると、多くの開発者はプロテストウェアについてはっきりした立場を持っていないことがわかる。意見を支持したり反対したりしていないコメントが多く、メンテイナーの行動に対する混乱や無関心のレベルを示している。一方、立場を取る人は、プロテストウェアを使う開発者の行動を支持したり反対したりすることが多い。
プロテストウェア議論の主要テーマ
プロテストウェアに関する議論は、いくつかの再発するテーマに整理できる。これらのテーマには以下が含まれる:
技術的対策:プロテストウェアの影響を減らす方法についての提案が多く見られる。依存関係の管理やライブラリのバージョン変更などが含まれる。
倫理と権利:開発者はしばしばプロテストウェアの倫理的な影響について議論する。開発者が自分のソフトウェアを抗議のプラットフォームとして使える権利があるのか、オープンソースソフトウェアを維持する責任は何かといった疑問が生じる。
評判:メンテイナーの行動は、管理するライブラリの評判にも影響を及ぼす。否定的な反応は信頼とコミュニティの支援を失う原因になる。
信頼とソフトウェアエコシステム
プロテストウェアの増加は、ソフトウェアエコシステム内の信頼について重要な疑問を投げかける。開発者はしばしばサードパーティのライブラリに依存しているから、それらのライブラリが抗議に利用されると、ユーザー、メンテイナー、そして広いコミュニティの関係が複雑になることがある。
プロテストウェア議論のスピード
プロテストウェアについての議論は速いけど、セキュリティの欠陥についての会話ほどの緊急性には達しない。研究によると、プロテストウェアに関する話が多くの開発者を引きつけるのには、脆弱性についての議論よりも時間がかかる。こうした遅い広がりは、プロテストウェアは目立つものの、セキュリティの問題ほど即座の懸念を引き起こさないかもしれないことを示している。
プロテストウェアに対する開発者の反応
一部の開発者はプロテストウェアに関連するライブラリを使わなくなるけど、他の多くは使い続ける。プロテストウェアに影響されたライブラリに関する調査では、関連するライブラリの使用をやめた開発者はごくわずかだった。これは、プロテストウェアがセキュリティの欠陥ほど脅威とは見なされておらず、その影響が深刻ではないと認識されていることを示唆している。
技術的対策の戦略
多くの開発者はプロテストウェアに対処するためのさまざまな技術的戦略を提案している。これには以下が含まれる:
- 代替ライブラリ:プロテストウェアなしで同じ機能を提供する別のライブラリを提案すること。
- 依存関係の管理:使用するライブラリのバージョンを変更したり、以前の安定版に戻すことを勧めること。
- ライセンスの議論:ライセンスがメンテイナーの行動をどのように保護したり反映するかについて話すこと。
ソフトウェア開発への影響
プロテストウェアが人気のあるライブラリに導入されると、ソフトウェア開発全体に対する影響に懸念が生じる。多くの開発者にとって、プロテストウェアに関与するライブラリを使い続ける選択は、ライブラリの有用性や抗議の道徳的側面などの要因によって複雑化している。
ソーシャルメディアの役割
ソーシャルメディアプラットフォームは、プロテストウェアについての情報を広め、開発者が意見を共有するのに重要な役割を果たす。RedditやHacker Newsのような場所は、こうした問題を議論するのに人気で、開発者はこれらのフォーラムを利用して自分の考えを述べたり、懸念を共有したり、アドバイスを求めたりしている。
プロテストウェアから得た教訓
プロテストウェアの現象を考えると、いくつかの教訓が浮かび上がる:
コミュニティの関与が鍵:オープンな議論に参加することで、プロテストウェアの背後にある意図を明確にし、建設的な結果につながる可能性がある。
明確なガイドラインの必要性:個人的な表現とソフトウェアの利用との境界があいまいになる中で、明確なガイドラインがあれば開発者がこれらの難しい状況を乗り越えやすくなる。
技術的指示が重要:プロテストウェアに対処するための実行可能なアドバイスを提供することで、開発者を支援し、ソフトウェアエコシステムの健康を向上させることができる。
有害性はリアルな懸念:プロテストウェアに関する議論は有害になることがあり、コミュニティの調和に脅威を与える。これらの議論を管理するメカニズムがあれば、より健康的な環境を促進できる。
認識が重要:プロテストウェアの影響を理解することで、コミュニティが効果的に準備し、対応する助けになる。
持続可能な実践が必要:プロテストウェアがますます一般的になるにつれ、予期しない変化に対応できる持続可能なソフトウェア開発の実践が緊急に求められている。
結論
結局、プロテストウェアはソフトウェア開発と社会問題の新たな交差点を示している。それがソフトウェアエコシステムに導入する複雑さは挑戦的である一方で、成長と反省の機会を与えてくれる。議論を促進し、その影響を理解し、責任ある行動を奨励することで、オープンソースコミュニティはプロテストウェアの影響を乗り越え、開発者の権利とユーザーのニーズの両方を尊重する方法を見つけることができる。
開発者がこれらの問題に取り組み続ける中で、ソフトウェア開発の風景は進化し、未来に向けた挑戦と機会の両方を提示している。
タイトル: Developer Reactions to Protestware in Open Source Software: The cases of color.js and es5.ext
概要: There is growing concern about maintainers self-sabotaging their work in order to take political or economic stances, a practice referred to as "protestware". Our objective is to understand the discourse around discussions on such an attack, how it is received by the community, and whether developers respond to the attack in a timely manner. We study two notable protestware cases i.e., colors.js and es5-ext. Results indicate that protestware discussions are spread more quickly on the GitHub platform, while security vulnerabilities are faster on social media. By establishing a taxonomy of protestware discussions, we identify posts that express stances and provide technical mitigation instructions. We applied a thematic analysis to 684 protestware related posts to identify five major themes during the discussions: i. disseminate and response, ii. stance, iii. reputation, iv. communicative styles, v. rights and ethics. This work sheds light on the nuanced landscape of protestware discussions, offering insights for both researchers and developers into maintaining a healthy balance between the political or social actions of developers and the collective well-being of the open-source community.
著者: Youmei Fan, Dong Wang, Supatsara Wattanakriengkrai, Hathaichanok Damrongsiri, Christoph Treude, Hideaki Hata, Raula Gaikovina Kula
最終更新: 2024-10-18 00:00:00
言語: English
ソースURL: https://arxiv.org/abs/2409.15674
ソースPDF: https://arxiv.org/pdf/2409.15674
ライセンス: https://creativecommons.org/licenses/by/4.0/
変更点: この要約はAIの助けを借りて作成されており、不正確な場合があります。正確な情報については、ここにリンクされている元のソース文書を参照してください。
オープンアクセスの相互運用性を利用させていただいた arxiv に感謝します。
参照リンク
- https://dx.doi.org/#1
- https://nvd.nist.gov/vuln/detail/cve-2022-23812
- https://t.ly/pdVPa
- https://security.googleblog.com/2021/12/understanding-impact-of-apache-log4j.html
- https://logging.apache.org/log4j/2.x/security.html
- https://blog.sonatype.com/npm-libraries-colors-and-faker-sabotaged-in-protest-by-their-maintainer-what-to-do-now
- https://checkmarx.com/blog/new-protestware-found-lurking-in-highly-popular-npm-package/
- https://github.com/medikoo/
- https://github.com/Marak/
- https://github.com/apache/logging-log4j2/pull/608
- https://github.com/faisalman/ua-parser-js/issues/536
- https://docs.github.com/en/rest?apiVersion=2022-11-28
- https://github.com/
- https://github.com/praw-dev/praw
- https://news.ycombinator.com/item?id=29855273
- https://t.co/uMlIAjqiko
- https://github.com/Marak/colors.js/commit/074a0f8ed0c31c35d13d28632bd8a049ff136fb6
- https://github.com/ishepard/pydriller
- https://docs.github.com/en/code-security/getting-started/adding-a-security-policy-to-your-repository
- https://developer.twitter.com/en/docs/twitter-api/migrate/whats-new
- https://www.semanticscholar.org/paper/Software-engineering-for-%27social-good%27%3A-integrating-Ferrario-Simm/0591f8477c3cb96b75292020f22ccbb190b03a23
- https://arxiv.org/abs/2104.12891
- https://ssir.org/articles/entry/coding_for_a_better_world
- https://www.microsoft.com/en-us/ai/ai-for-good
- https://www.linkedin.com/in/youmei-fan-513a161a6/
- https://dong-w.github.io/
- https://www.supatsarawat.com/
- https://www.linkedin.com/in/ploychanok/
- https://hideakihata.github.io/
- https://raux.github.io/