Kiteworksオープンソースプログラムオフィス
オープンソースへの取り組み
Kiteworksは、すべてのオープンソース活動をOpen Source Program Office(OSPO)に集約し、ownCloudブランドのもとで運営しています。この決断は、単なるソフトウェアへの投資にとどまらず、コラボレーションの未来はフェデレーション(連携)、主権性、オープン性の上に築かれるべきだという考えへの投資でもあります。OSPOでは、その信念を公開されたガバナンス憲章、正式な脆弱性開示プログラム、Developer Certificate of Origin(DCO)による貢献モデル、そしてオープンソースを本番環境で健全に維持するために必要な専任のプロダクト、エンジニアリング、コミュニティ、セキュリティリソースによって正式に具現化しています。ownCloud Desktop Clientの提供により、私たちは初めて完全なオープンソースアプリケーションを全顧客に提供できるようになりました。これは第一歩であり、今後さらに発展させていきます。
なぜオープンソースなのか
私たちはオープンソースをビジネスモデルではなく、商業的な投資によって支えられる社会的契約だと考えています。イノベーションは共有されるべきものです。信頼は透明性によって築かれます。テクノロジーは商業的利益だけでなく、より大きな公益のために役立つべきです。これは、私たちのプラットフォームに依存する組織にとって、実際にどのような意味を持つのかを示しています。
設計段階からデジタル主権を実現
主権はSaaSプロバイダーとの契約だけで達成できるものではありません。必要なのはアーキテクチャのコントロールです。つまり、選択したインフラ上でのデプロイ、すべてのソースコードの監査、プログラム可能なルールによるポリシーの強制、ベンダーのロードマップや価格、企業活動に依存しない独立した運用が可能であることです。OSPOは、そのアーキテクチャ上の保証を守るために存在します。ソースコードとソフトウェア部品表(SBOM)は完全に公開されています。デプロイは組織が管理するインフラ上で行われます。WebDAV、OIDC、Open Cloud Mesh、LibreGraphといったオープンスタンダードは、買収や価格変更がビジネスリスクとなるベンダーロックインを防ぎます。
透明性とオープンガバナンスによる信頼構築
プロプライエタリソフトウェアは、顧客にセキュリティ体制を「信じる」ことを求めます。オープンソースは、それを「検証」できるようにします。
アーキテクチャの決定は、リポジトリ内でADR(アーキテクチャ決定記録)として公開されています。依存関係は正式なソフトウェア部品表プロセスで管理されます。貢献はDeveloper Certificate of Origin(DCO)を用いて行われ、知的財産権はコードを書いた人に帰属します。規制当局、監査人、セキュリティチームがKiteworks OSPOの情報開示、パッチ適用、帰属管理について質問した場合、その答えはマーケティング的な主張ではなく、公開されたプロセスです。
ロックインなしで組織横断型コラボレーションを実現
コラボレーションは組織の境界で止まるべきではなく、双方が同じプロプライエタリベンダーを採用する必要もありません。私たちがオープンスタンダードにこだわるのは、組織横断のワークフローを可能にするためです。独立したデプロイ間の連携にはOpen Cloud Mesh、欧州の研究ネットワーク統合にはScienceMesh、マルチインスタンスのID管理にはWebfingerを活用しています。各組織は自らのデータ主権を維持しつつ、境界を越えて連携できます。これこそが誠実な相互運用性であり、コラボレーションのポートフォリオをリスクに変えるベンダーエコシステムとは対極にあります。
持続可能なイノベーションを社会全体のために推進
過去20年で最高のインフラソフトウェア、Linux、Kubernetes、PostgreSQL、Apacheは、単一のベンダーだけでは生み出せなかったため、オープンな形で開発されてきました。ownCloudもその伝統に属し、Kiteworksはそれを継承していきます。私たちはロードマップに資金を投じ、依存するオープンソースコンポーネントへアップストリームで貢献し、コードベースを「生きた共有財産」とするコミュニティ基盤にも投資しています。オープンソースは、コミュニティに力を与え、組織を強化し、イノベーションをすべての人に開かれたものにする力です。OSPOは、そのコミットメントを組織として体現するための仕組みです。
セキュアな交換チャネル
持続可能なイノベーションを推進
より良い社会のために
Kiteworksオープンソースプログラムオフィスの始め方、オープンソースコミュニティへの当社のコミットメント、参加方法など、必要な情報をすべてご紹介します。
Kiteworksオープンソースプログラムオフィス(OSPO)とは?
Kiteworks OSPOは、オープンソース戦略、ガバナンス、ライセンス、コミュニティの健全性、エコシステムへの関与を担う組織体です。Kiteworksのオープンソースプログラムオフィス担当バイスプレジデントが率い、ownCloudブランドのもとで運営され、主権性のあるオープンソースデータ交換を本番環境で実現するためのプラットフォーム、セキュリティプラクティス、貢献者コミュニティを維持しています。
公開されたガバナンス憲章
私たちは、意思決定の方法、貢献者の昇格プロセス、紛争解決の手順を明確に定めた公開ガバナンス憲章のもとで運営しています。貢献者、レビュアー、メンテナー、そしてOSPO自体の4つの役割が貢献者の道筋を形成し、昇格は肩書や在籍期間ではなく、実績に基づいて決定されます。
ガバナンスの変更は30日間の公開コメント期間を経て実施されるため、コミュニティの可視性なしに運営方法が変更されることはありません。紛争はOSPOにエスカレーションされます。
外部貢献者、パートナー、機関からなる5~9名のコミュニティ諮問委員会(CAB)が設置され、ロードマップやガバナンスに関する体系的かつ継続的なフィードバックを提供します。CABは12か月ごとの更新可能な任期で、四半期ごとに会合を開き、その要約を公開します。
正式なセキュリティ脆弱性開示プログラム
OSPOは、security.owncloud.comで正式な脆弱性開示プログラムを運営しています。YesWeHackで実施されているバグバウンティでは、定められた階層ごとに研究者へ報酬が支払われます。
サプライチェーンの脆弱性は、自動依存関係スキャンと正式なソフトウェア部品表(SBOM)プロセスによって監視され、上流への協調的な開示が行われます。
バグバウンティの対象外となる問題については、security@owncloud.comまでご連絡ください。
正しい貢献のあり方:DCO、CLAではなく
従来の貢献者ライセンス契約(CLA)は、貢献者が著作権をownCloud GmbHに譲渡することを求めていましたが、これは廃止されました。今後は、Developer Certificate of Origin(DCO)を採用し、git commit -sによるコミットごとの簡易な証明を行います。貢献者は自身の成果物の所有権を保持し、それを提出する権利があることのみを証明します。新規リポジトリはすべてApache License 2.0がデフォルトとなり、既存リポジトリのライセンス変更も適切に対応します。ライセンスの曖昧さを商業的な手段として利用することはなく、境界は公開され、意図的かつ一貫して適用されます。AI支援による貢献も、他の貢献と同じ品質基準のもと、使用ツールの開示、貢献者の理解、十分なテスト、ライセンス遵守を前提に歓迎します。
コミュニティ主導のプロジェクト
私たちは自らのモデルについて正直です:ownCloudは商業的支援を受けたオープンソースプロジェクトであり、財団による統治ではなく、Kiteworksがロードマップを主導しています。ただし、ロードマップは公開され、その根拠も説明され、コミュニティが実質的に影響を与えるチャネルが確保されています。良いものを作れば、ロードマップに載っていなくても統合への道があります。
メンテナーはゲートキーパーではなく、貢献を促進する役割です。貢献はコード以外にも多様な形で評価されます:
ドキュメント作成、テスト、翻訳、デザイン、メンタリング、啓発活動なども認められます。行動規範は、coc@owncloud.comへの専用エスカレーション経路を通じて厳格に運用されています。2027年第1四半期に予定されている年次OSPOレポートでは、貢献統計、ガバナンスの変更、コミュニティの健全性について報告します。
よくあるご質問
Kiteworks Open Source Program Office(OSPO)は、Kiteworks社内で自社のオープンソース活動を単一のガバナンス構造のもとに統合し、ownCloudブランドのもとで運営されている組織体です。KiteworksのOpen Source Program Office担当バイスプレジデントが率い、オープンソース戦略、ガバナンスポリシー、ライセンス管理、コミュニティヘルス指標、エコシステムとの連携、上流への貢献戦略などを担当しています。
OSPOは、ownCloud Classic、ownCloud Infinite Scale、ownCloud Desktop、AndroidおよびiOSクライアント、oCIS MCP Server、その他すべてのKiteworksオープンソース製品や貢献活動を管理しています。また、security.owncloud.comでの脆弱性開示プログラムの監督、パブリックなガバナンス憲章の維持、オープンソースコミュニティとKiteworks経営陣とのインターフェースの役割も担っています。お問い合わせ:ospo@kiteworks.com。
デジタル主権、可監査性、ベンダーロックインの回避は、契約だけでは実現できません。これらには、オープンソースソフトウェアのみが提供できるアーキテクチャ上の保証が必要です。規制枠組みや公的投資プログラムもこの流れを裏付けており、組織には検証可能なコード、公開されたソフトウェア部品表(SBOM)、セルフホスト可能なプラットフォームが求められています。
Kiteworksは、セキュアなプラットフォームにオープンソースコンポーネントを統合してきた長い歴史があります。ownCloudの買収は、コラボレーションの未来はフェデレーション、主権、オープンネスの上に築かれるべきだという理念に基づくオープンソースへの投資でした。ownCloud Desktop Clientの提供により、全顧客向けに初の完全オープンソースアプリケーションを展開しています。OSPOは、専任のプロダクト、エンジニアリング、コミュニティ、セキュリティリソース、そして貢献者・顧客・規制当局が検証できる透明性のあるガバナンスを通じて、このコミットメントを組織的に持続する仕組みです。
Kiteworks OSPOは、ownCloud Classic(ownCloud 10とも呼ばれる)、Goネイティブのマイクロサービスプラットフォームでデータベース不要のownCloud Infinite Scale(oCIS)—ホームサーバーで単一バイナリとして、またはKubernetes上で分散マイクロサービスとして展開可能—、そしてDesktop Client、Androidアプリ、iOSアプリ、MCP Serverを含むownCloudクライアントファミリー全体を管理しています。Desktop Clientは、Kiteworksが全顧客に提供する初の完全オープンソースアプリケーションです(プランを問わず提供)。
また、OSPOはKiteworks Private Data Network全体に組み込まれている多くのオープンソースコンポーネントへの上流貢献の調整や、GitHubなどのコミュニティインフラの運営も行っています。
OSPOは、4つの役割(貢献者、レビュワー、メンテナー、OSPO自体)を定義したパブリックなガバナンス憲章のもとで運営されており、肩書きではなく実績に基づく権限昇格を採用しています。貢献にはContributor License AgreementではなくDeveloper Certificate of Origin(DCO)を使用し、貢献者が自身の成果物の所有権を保持できるようにしています。新規リポジトリはデフォルトでApache License 2.0を採用し、既存リポジトリのライセンス変更時にはCommunity Advisory Board(コミュニティ諮問委員会)との協議を行います。
外部メンバー5~9名で構成されるCommunity Advisory Boardが、12か月更新の任期、四半期ごとの会議、公開される議事要旨を通じて、ロードマップやガバナンスに関するフィードバックを提供します。紛争はOSPOにエスカレーションされます。行動規範違反はcoc@owncloud.comへ報告され、CoC執行プロセスで対応します。毎年発行されるOSPOレポートでは、貢献統計、ガバナンスの変更、コミュニティヘルスなどをカバーします。
Kiteworks OSPOは、security.owncloud.comで正式な脆弱性開示プログラムを運営しています。YesWeHackでのバグバウンティプログラムも実施しており、研究者には報奨金が支払われます。善意で開示ポリシーに従う研究者に対して法的措置は取りません。
サプライチェーンや依存関係の脆弱性は、自動スキャンと正式なソフトウェア部品表(SBOM)プロセスで監視し、上流への調整された開示を行います。重大なインシデントが発生した場合は、時系列や影響を記載した公開インシデントレポート、顧客への直接通知、更新済みコンテナイメージや検証用ハッシュ付きバイナリを提供します。バグバウンティの対象外の問題はsecurity@owncloud.comまでご連絡ください。