前編からの続きです。読んでない人はそちらもどうぞ。
先方がいうように、確かにDebian LTSではセキュリティチームが更新を担当せずLTSチームが担当しています。…とはいえ、利用しているDebianユーザー側の期待値としては『LTSフェーズに入っているDebianもそれ以前同様にセキュリティ修正が提供されているので、Nginx公式パッケージもアップデートが提供されてほしい』です。そこでその旨を返信します。
「Debian LTSはDebianセキュリティチームがサポートを提供する“main”サポートフェーズではない、という判断をした…ということですがちょっと待っていただけますか?LTSフェーズはサポートするアーキテクチャなどに制限があるものの、Nginxを動かす基盤としてはDebianセキュリティチームがサポートするのとほぼ同様のサポートが提供されています。また、LTSフェーズではDebianセキュリティチームではなく別のLTSチームが対応しているのはDebianプロジェクト特有の事情が関わっています。LTSサポートを行っているLTSチームは、Debian公式開発者であるRaphael Hertzhog氏が運営する企業「Freexian」が志願したDebian開発者らを組織して構成されています。このチームの作業はDebian LTSを希望する東芝やGitHubなどの企業から資金提供を受け、工数ベースで作業をしたDebian開発者らに支払いが行われる形です。「Debianプロジェクト内で特定の作業についてだけ報酬が発生する」という構図は過去に騒動を引き起こしたことがあり、セキュリティチームにだけ報酬支払いを行うのは難しく、かと言って長期間に渡って少人数のセキュリティチームが無償で作業することもリソースの問題で難しいのです。これらの解決策として「セキュリティチームとは別の、結成当初から(通常のパッケージメンテナがやりたがらない面倒で難解なセキュリティバックポート作業に対して)報酬提供が前提のLTSチームをあとから組織し、分割した形でセキュリティ更新の提供を行う」という形を行っている、というのが私の見解です。
現状のサポートポリシーとはコンフリクトするかもしれないのですが、NginxとDebianのユーザーの一人の期待としてはDebian旧安定版(=LTSフェーズ)をサポートしてほしいです。ご検討いただくことはできませんか?」
…とDebian開発者としての知見(&以前技術評論社さんの雑誌「Software Design」誌上でDebian情報を8年ほどウォッチして提供していた知識)を活かし、つたない英語で説明したところ、以下のような非常に前向きな返答が帰ってきました。
「私の理解では、Debian Wiki等で明示的に示されているようにLTSは明確に公式なものではないというものでした。それから当時のことで覚えている限りでは、LTSはbackportsリポジトリのように分離されたリポジトリとなっていて明示的に設定に書かないと利用できないものだったはずです。現在、私が理解したところでは状況は変わっており、LTSの更新は通常の更新同様にsecurity.debian.orgに配置されているようです。
この変更が起こったのはほんの少し前でした。Debianでの以降のリリースについて、我々はポリシーを変更できると思います – つまり、Debian11では通常3年サポート+LTS2年サポート=計5年サポートをnginx.orgのパッケージに提供する、ということです(商用版についても同様ですが、これはF5内のビジネス担当と議論が必要です)。Debian10については既にビルド環境を破棄しており、決定事項を覆すのは選択肢とはなりませんが…」
そしてしばらく後に最終的な案内が届きました。
「Debian11以降についてサポートポリシーについてチーム内で議論しました。オープンソース版と商用版でのLTSフェーズでのサポートを確約します。Debian10については変更はありません。」
つまり、現在LTSフェーズに入ったDebian10 “buster”は残念ながら対象にはならないものの、Debian11 “bullseye”からLTSフェーズでもNginx公式パッケージが(オープンソース版・商用版共に)アップデートをリリースしてくれるようになるようです。これは嬉しい人もいるのではないかと思った&コードを書かなくてもコミュニティやユーザーに貢献する方法はあることをお伝えしたかったので、ここに記しておきます。
