オープンソースの未来に貢献しよう
2,000万ドルのオープンソース・サステイナビリティ・ファンドの枠を手に入れよう

資金調達のメインテナー
経験に裏打ちされた
私たちは、メンテナンスされていないコードベースにパッチを書き、誰も見ていないところで脆弱性を突き止め、急いで書き直すことなく重要なシステムを安全に稼動させてきました。この基金は、そのような活動を基盤としています。そうすることで、メンテナたちは、本当の後ろ盾を得ながら、自分たちのベストを尽くし続けることができるのです。
私たちの基準とコミットメント
私たちのプログラム基準は、オープンソースのベストプラクティスを導き、サポートするために、エコシステムの衛生とセキュリティに焦点を当てています。私たちは、チームがこれらの基準を満たすことを支援するためにチームと提携し、オープンソースコミュニティにおける彼らの影響力をさらに強化し、維持するための資金を提供します。
リリースとバージョン管理
予測可能な、文書化されたバージョン管理(SemVer/PEP 440)を使用し、すべての公式チャンネルを通じて新しいリリースを発表し、CVE関連の修正を明確にマークする。
コミュニケーションと透明性
どのバージョンがサポート対象か、非推奨か、またはサポート終了かを明示し、プロジェクトの規模に見合ったスケジュールで、変更の事前通知を行う。
ドキュメンテーション
非推奨ポリシーを定義し、非推奨バージョンにタグを付け、サポートスケジュールを指定し、いつバージョンが完全に削除されるかを示す。
サポートと非推奨の取り扱い
明確な採用/削除のタイムラインを提供すること、クリティカルな修正をLTSのみにバックポートすること、非推奨を壊さないようにすること、変更ログやランタイムで警告を表面化すること。
プロセスと階層
問題やセキュリティ上の懸念を報告するための明確なプロセスを維持し、サポート階層(Current、LTS、EOL)を定義し、バージョンがEOLに達した場合の移行または代替サポートソリューションを奨励する。
条件別に表示する場合は選択してください:
バージョン・エンド・オブ・ライフ
- 地域社会には、リリースが発生した時点で通知される。
- すべての公式チャンネル(X/Twitter、GitHub Repo、ウェブサイト・ドキュメントなど)を通じて伝えること。
- 新しいバージョンがリリースされたときに何が起こるかを明確に定義。
- メジャーリリース、マイナーリリース、パッチリリースの影響を定義します。
- 新しいバージョンがリリースされると、コミュニティは以前のリリースの最新のサポート状況を知ることができる。
- CVEに対応したリリースは、以下のように特定される。
- バックポートパッチが既知の脆弱性を緩和しているかどうかをコミュニティに知らせる。
- プロジェクトでは、業界標準のバージョニング(例えば、セマンティックバージョニングやPyPiパッケージの場合はPEP 440)を使用することが推奨されます。
- プロジェクトが現在SemVerに従っていない場合、バージョン管理構造は予測可能で、直感的であり、コミュニティのために文書化されている。
- ドキュメントには、サポート終了バージョンとサポート対象バージョンが明確に記載されている。
- リリース発表
- 多くの小規模プロジェクトは、ほとんど何の前触れもなく新しいメジャーバージョンをリリースし、すぐに旧メジャーのサポートを打ち切る傾向がある。大規模プロジェクトは、新しいリリースラインを事前に予測し、現在以前のリリースラインの長期サポート期間を明示する傾向がある。
- EOLイベントのアナウンスはタイムリーに行われる。
- 考慮すべきベンチマーク時間枠:
- 広く採用されている基礎的なライブラリ/フレームワーク:12~18カ月
- 適度に採用されたプロジェクト(1万人以上のユーザー):6~12ヶ月
- 小規模またはニッチなプロジェクト3~6ヶ月
- 該当する場合、移行や移行のための時間を確保するため、現在より前のリリースラインにはサポート期間が設けられている。
- 考慮すべきベンチマーク時間枠:
- 終活イベントはプロジェクトの公式チャンネルに投稿される。
非推奨
- 非推奨の定義がある
- 治療方法
- バグフィックスやパッチを受けた場合
- 脆弱性がこれらのバージョンに与える影響
- タグ付けは、すべての公式文書で、非推奨となったバージョンを表記するために使われている。
- 以前のバージョンのステータスに影響を与えるような新バージョンのリリースがあった場合、どのバージョンが非推奨になるのか、あるいは使用終了になるのかについての文書がある。
- 非推奨バージョンが完全に削除される時期や、サポートが一切されなくなる時期については、具体的に言及されている。
- 該当する場合、プロジェクトはエコシステム固有のツールを活用し、非推奨を報告する。
- 地域社会が従うべき推奨スケジュールがある:
- 新機能の採用
- 非推奨機能の削除。
- 非推奨の機能をサポートする仕組みがある。例
- マイナーリリースで導入
- 次のメジャーリリースで削除
- クリティカルな脆弱性はLTSでのみバックポートされる。
- 非推奨は壊れないものでなければならない。
- ランタイムの警告は、使用中にログ/コンソールに追加されます。
- 非推奨イベントは変更ログとリリースノートに表示されます。
サポートポリシー
- 地域社会が問題を報告するためのプロセスがある。
- 報告された問題に対応するためのプロセスがある。
- セキュリティ違反を報告するためのプロセスがある。
- バージョン・サポートの階層を定義し、コミュニティにとって明確なものにする。
- 例1:
- 現在完全なセキュリティ脆弱性とバグサポート。
- LTS:セキュリティの脆弱性のみ。
- EOL: 重要な場合、セキュリティの脆弱性。
- 例2
- 最新(または対応)
- 未対応
- 例1:
- どのバージョンがサポートされ、どのバージョンがサポートされていないかは、開発者向けの文書で明確になっている。
- 開発者が使用することを推奨する(サポートされる)バージョンと、プレリリースまたは開発バージョンとして意図されるバージョンとが、期待値として設定される。
- バージョンがEOLになった場合、ユーザーは移行するか、移行が現在不可能なサポートソリューションを確立することが推奨される。
- 注:HeroDevsのサービスを通じて、移行スケジュールを確立したり、古いバージョンでサポートされていることを確認することができます。
よくある質問
もちろん、お探しの答えが見つからない場合は、お気軽にお問い合わせください。
オープンソースの健全性と持続可能性を維持することは、メンテナからユーザまで、コミュニティの成功に不可欠であるという考えのもと、オープンソース持続可能性基金を立ち上げました。この基金は、ベストプラクティスの実施を奨励するだけでなく、オープンソースプロジェクトへの継続的な取り組みを促進するためにコミュニティに還元することで、オープンソースソフトウェアへのサポートを提供します。
- あなたは、OSIが承認したライセンスの下でオープンソースプロジェクトのメンテナです。
- あなたのプロジェクトのバージョンは、公式EOLに近づいているか、すでに過ぎています。
- ユーザーの安全性、コンプライアンス、CVEフリーを維持する準備が整いました!
応募はこちらから。
申請していただくと、チームのメンバーが連絡を取り、申請書が受理され、審査中であることをお知らせします。承認された場合は、基準の審査とベストプラクティスの実施のプロセスを開始するためにご連絡いたします。
助成金の範囲は2,500~15,000ドル。
このプログラムには、安全で効果的な生態系衛生のベストプラクティスを概説する一連の基準がある。ベストプラクティス・フォームは、維持管理者がすでに実施されているプラクティスを紹介し、生態系をベストプラクティスに沿うように改善するための変更方法についてのガイダンスを受けることができるセルフサービス活動である。
もちろんです!HeroDevsは、すべてのステップであなたをサポートします。HeroDevsは、メンテナがユーザーに必要なソフトウェアを提供し続けながら、成功することを望んでいます。私たちは、プログラム全体を通して、またそれ以降も、あらゆる質問やサポートの要請を歓迎します。
HeroDevsは、寿命を終えたバージョンにのみ焦点を当てた他のタイプのパートナーシップも提供しています。基金以外のパートナーシップにご興味のある方は、お問い合わせください!