ASFによるオープンソースカンファレンスCommunity Over Code Asia 2025が北京で開催。初日のキーノートを紹介

The Apache Software Foundation（ASF）が主催するオープンソースカンファレンスCommunity Over Code Asia 2025が2025年7月25日から27日の3日間、北京で開催された。ASFはビッグデータ関連のオープンソースプロジェクトを多くホストしており、The Linux Foundation/Cloud Native Computing Foundation（LF/CNCF）がLinux、Kubernetes、オブザーバビリティ、CI/CD、ストレージ、セキュリティなどのインフラストラクチャー及び運用のためのツールをメインにホストしているのとは対照的と言える。両者は、お互いが補完するような立ち位置にいる組織である。

筆者は2017年にマイアミで開催されたApacheCon North Americaにも参加している（ApacheConはCommunity Over Codeの旧名称）。興味のある読者は以下のリンクから参照して欲しい。

●ApacheCon NA 2017：ApacheCon North America 2017にASFのルーツを見た

ApacheConという名称からCommunity over Codeという名前にカンファレンスが変更されたのは、パンデミックが多少落ち着いた2023年である。今回は北京での開催ということもあり、久しぶりに参加した次第である。この稿ではカンファレンスの概要と初日のキーノートの一部を紹介する。

3日間のカンファレンスは、3日とも朝9時30分から約2時間のキーノートが開かれ、それ以降はAIやデータレイク、ストレージ、メッセージング、ストリーミングなどのブレークアウトトラックがそれぞれの部屋で行われるという形式で、通常のテックカンファレンスと共通する形式で行われた。

全体を通して感じたことは、良い意味では「オーガニックなカンファレンス」で、悪く言えば時代が20年くらい逆戻りしたような印象を受けたカンファレンスというものだった。その印象の大きな要因は参加者に対するサービスがデジタル的ではないことに尽きる。参加者は参加したいセッションをスマートフォンアプリで決めることもできないし、スケジュールも固定のWebページを閲覧するだけだ。

カンファレンス会場に置かれたモニターでセッションのスケジュールや部屋は確認できる

またセッションを行う側にとっても誰が参加しているのかを把握することができず、質問と回答をWebで行うこともできない。要は昭和の時代のセミナーと同じで自然発生的に集まった聴衆にスライドを見せ、解説やデモを行い、時間が来たら終わる、ということを繰り返している。展示ブースとして用意されたASF配下のプロジェクトのブースでも説明に訪れた参加者のデータを集めるシステムは用意されず、ベンダーブースにおいてのみノベルティと交換でWeChatのIDを集めるだけだった。つまりカンファレンスとしてセッションやブースに来た参加者のデータを集める仕組みが無いという状況であった。それは参加者が首から下げるIDバッジを見れば理解できるだろう。バッジには氏名と所属組織の名称だけがシールとして張り付けられており、QRコードなどは存在しない。

COC Asia 2025のバッジ

今回はメディア向けにトラベルサポートが用意され、日本からの航空券とホテルはASFから提供された。しかし同時にボランティアとして現地の運営をサポートする仕事が用意されていることから、Staffという表記のバッジとなっている。要はメディアが来ることは想定していないわけだ。実際、中国のメディアが参加していることは確認できなかった。あくまでもコミュニティのためのカンファレンスであるという建付けである。

各プロジェクトのブースも机と椅子にバナーという非常に質素な造り

初日のキーノート

ここからはキーノートの内容を要約して紹介する。海外からの講演者のみ英語でのプレゼンテーションとなっており、中国語圏のプレゼンターは中国語によるプレゼンテーションとなっていたため、スライドが英語で表記されている以外は理解できないという状況だったためだ。

ウェルカムトークはByteDanceのWillem Jiang氏

最初に登壇したWillem Jiang氏はByteDanceのオープンソースエバンジェリストで、Community Over Codeのカンファレンスチェアパーソンでもある。

Jiang氏はオープンソースプロジェクトがボトムアップで始まることを切り口に、エンジニアがオープンソースに係わるようになる段階、Apache Camelに対する貢献などを紹介した。

オープンソースはボトムアップで始まると紹介

オープンソースがボトムアップで始まるというのはRed HatのかつてのCEO、Jim Whitehurst氏の著書、「Open Organization」からの引用である。オープンソースプロジェクトへの貢献というスライドにはJiang氏のGmailのスクリーンショットが使われており、主にApache Camelに関するやり取りなどが記録されているが、北京在住のJiang氏が欧米とのやり取りにはGoogleのサービスを使っているというのは処世術といったところだろう。

Gmailを使って欧米のエンジニアとは交流しているようだ

またASFのローカルなミートアップなども紹介。この動きは2015年から始まっており、当時はApache China Roadshowと呼ばれていたという。

2015年に開催されたApache China Roadshow。当時から参加者が多いのに注目

これらのイベントはパンデミック時でもオンラインで開催されており、ApacheConがCommunity Over Codeと名称変更されてからも継続して開催されていたと説明。

ApacheConとCommunity Over Codeを定期的に中国国内で開催

Jiang氏はオープニングのキーノートとして、中国のオープンソースがASFのブランドの下で活発に開発されていることを示したと言える。カンファレンスのスポンサーやサポーターを紹介した後に、ASFのオープンソースカルチャーを紹介した。

ASFのオープンソースカルチャーを再確認

Community Over Code（コードよりもコミュニティが重要）、Open＆Transparent（公開されており透明性が高い）、Meritocracy（所属する組織よりも成果主義）などはApache Wayと同一だが、Incubating, Learning pathはJiang氏によって追加されたポイントだろう。プロジェクトがインキュベーションを通じて成長すること、成長し続けることを重要視していると言える。ここでJiang氏のセッションは終了となった。

この後はASFのメンバーであるCraig Russell氏が登壇。ここからはオープンソースにおけるセキュリティに関するセッションとなった。

Craig Russell氏によるセキュリティに関するキーノートセッション

セッションの内容は、オープンソースのインパクトを紹介した後に脆弱性が増加していること、各国政府による規制、そしてすべてのデベロッパーが意識しないといけないことなどだ。内容を英語と中国語で併記してあるのは、いかにも中国からの参加者に対する気遣いというところだろう。これ以降のスライドもすべて英語／中国語併記となっていた。

セッションの内容を英語と中国語で紹介

オープンソースが今やすべてのソフトウェアの90％を占めるようになっていることや、100以上のオープンソースに特化した組織が存在することでオープンソースにおいて多くのイノベーションが起こっていることを紹介。ここでxkcdの有名なイラストを使って、多くのインフラストラクチャーを支えているのはごく少数のエンジニアの自己犠牲であり、現実のインフラストラクチャーが脆弱なバランスの上になりたっていることを紹介した。xkcdのオリジナルのイラストは以下から参照できる。

●参考：Dependency

多くのオープンソースソフトウェアが存在するが、それらは少数のエンジニアの負担の上に成り立っていることも事実だ

その上で実際に起こった近年の脆弱性のインシデントについて取り上げた。ここではLog4shellとXZ utilsについてそれぞれ紹介した。特にXZは攻撃者が善意のコントリビュータを装ってコミュニティに浸透し、バックドアを仕込んだというインシデントであるため、バグとして意図せずに発見された脆弱性とは異なり、コミュニティの管理運用に係わる大きな問題提起となる事件だったと言えるだろう。

XZ Utilsの脆弱性について解説

そして各国政府の規制について解説。ここではEUのCyber Resilience Act（CRA）について簡単な解説を行った。

EUのCRAについて解説

EUのCRAは脆弱性対策に対する製造責任をソフトウェアについても求めるもので、オープンソースソフトウェアをホストする非営利団体にとっては大きな影響を持つと想定されているが、LFやASFなどによるロビーイングの結果、それらの非営利団体はStewardという役割を担い、営利企業とは異なる責任分担となることを解説した。

オープンソースの非営利団体はStewardという役割で営利企業とは異なる

この後は脆弱性がどのように定義されるのか、MITREの役割などを紹介したうえでASFとしてプロジェクトにおいて発生した脆弱性が報告されてからProject Management CommitteeとASFのセキュリティチームを通じてどのように処理されるかなどを紹介した。

ASF配下のプロジェクトに脆弱性が発見された際のフローを解説

最後に今後の予定として、プロジェクトのリリースサイクルをよりセキュアにするためにリリースの自動化、チェックサムやシグネチャーの追加、SBOMを生成することの必須化などを紹介してセッションを終えた。

2026年以降の将来計画を紹介。SBOMは必須となるようだ

初日のキーノートの約半分程度を要約して紹介したが、やはりアジアと言いながらも「中国人による中国人のためのカンファレンス」という印象が強かった。欧米のリポジトリからフォークして中国国内で独自に開発され中国国内でのみ利用されているオープンソースソフトウェアも多いと思われるが、ここではASFのカンファレンスという縛りがあるためか英語でのスライドも多かった。そして何よりも、すべて中国語で講演される時点で非中国語圏のエンジニアにはハードルが高いというのが正直な感想だ。KubeCon Chinaでも中国語のセッションが多く、英語によるプレゼンテーションを強要することで参加するエンジニアにとってハードルの高いものになることを避ける現実的な対応と言えるだろう。しかし生成AIやRustのトラックには興味深いものも多く、これ以降も中国語が分からない筆者による想像が混ざるレポートとなることをご容赦いただきたい。