it.xnews.jp
API
出典: Andrew Nesbitt 原文公開: 2026-05-19 生成: 2026-05-19 読了 約 4 分 model: claude-sonnet-4-6 原文: https://nesbitt.io/2026/05/19/dumb-ways-for-an-open-source-project-to-die.html raw.md
open-sourcesoftware-maintenancesupply-chain-securitypackage-managementdependencies

オープンソースプロジェクトが「死ぬ」25以上の失敗パターンを分類

Andrew Nesbittが2026年5月19日、オープンソースプロジェクトが放棄・実質廃止に至る失敗パターンを体系的に整理した記事を公開した。「Weekend at Bernie's」分析を起点に、メンテナー離脱からサプライチェーン攻撃、ライセンス変更まで25件超の具体的事例を列挙している。

「Weekend at Bernie's」プロジェクトは、最も多くのパッケージから依存されているオープンソースパッケージの多くがすでに死んでいることを示した。

リポジトリ消失と幽霊メンテナー

「About 1.7% of npm and 4% of Packagist point at a repo that isn't there, and a fair number of those are still being installed.」

npmパッケージの約1.7%、Packagistパッケージの約4%が存在しないリポジトリを指しており、そのうち相当数は今もインストールされ続けている。パッケージ自体はレジストリに残っているため、ロックファイルが参照し続ける構造的問題がある。

サボタージュとサプライチェーン攻撃

実際に発生したサプライチェーン侵害の事例は複数記録されている。

外部プラットフォーム変更とフォーク

TwitterのAPIを2023年に変更したことに続くRedditの同様の変更が、クライアントライブラリの一世代を事実上消滅させた。また、一部のnpmおよびGitHubアカウントが輸出規制・制裁の適用を受けてサスペンドされた事例も存在する。

ライセンス変更によるフォークも相次いでいる。Terraformはオープンソースでないライセンスに移行し、コミュニティフォークのOpenTofuが生まれた。RedisとValkey、ElasticsearchもそれぞれOSSライセンスから離脱する同様の経緯をたどっている。一方、io.jsとNodeは最終的に統合され、libavもFFmpegに合流した事例のように、フォークが解消される場合もある。PEP 541プロセスやnpmの紛争ポリシーは、メンテナー継承の膠着状態に対応するための制度として存在する。

筆者の見立て

この記事は元記事の事実のみに基づいて自動生成されました。

出典

Andrew Nesbitt, "Dumb Ways for an Open Source Project to Die", https://nesbitt.io/2026/05/19/dumb-ways-for-an-open-source-project-to-die.html (Melbourne Metro safety campaign の報道による)