ゴールデンウィークの最終日、5月7日にJoe Hoyle(ジョー・ホイル @joe_hoyle)とBryce Adams(ブライス・アダムス @bryceadams)の2人をゲストとして迎え、Ask Me Anything(AMA)形式で開催されたWordPress Meetup Tokyo #34の模様をレポートします。
Joe HoyleとBryce Adamsについて
Joe HoyleはHuman MadeのCTO、共同創立者であり、WordPressのREST APIチームの主要メンバーです。またPost Status Draftポッドキャストのプレゼンターの1人でもあります。Bryce AdamsはWooThemes(その後Automatticが買収)でWooCommerceプラグインの開発やwoocommerce.comの運営に携わり、現在は起業してMetorikというWooCommerceの解析、分析、レポートの生成サービスの開発・運用をしています。2人に関してより詳しくは、先日西川さんが書いてくれた記事を参照してください。
5/7(日)東京で開催されるWordPress Meetupが面白そうなので登壇者のバックグラウンドをまとめてみました
WordPress Meetup Tokyoについて
WordPress Meetup Tokyoは日本で唯一、英語で定期的に行っているWordPress関連の勉強会・集まりです。東京で開催されており、開催は今回で34回目。参加者は英語ネイティブから非ネイティブまで、国籍も、スキルレベルも、WordPressとの関わり方も様々です。毎回約10名弱程度の参加者がいて、今回はゲストを含む計9名で開催しました。Meetupとは、海外におけるWordBenchのようなものと考えてください。なお、筆者はWordPress Meetup Tokyoの主催者の1人です。
AMA形式(=Ask Me Anything)は、ざっくり言うとトピックを限定していないQ&Aセッションだと思ってもらってOKです。
技術からキャリアまで幅広い質問が飛び交う
参加者からは主に以下のトピックに関しての質問がありました。
- 先日起きた、WordPress REST APIに関連するセキュリティ事象について。
- WordPressと同じDBに保存されたカスタムデータに関して。
- Reactを用いたWordPressサイト関連の開発について。
- Metorikのサービス化や収益状況、マーケティング、技術的な話題。
- 会社における人材確保ー特にリモートで働くチームの場合や、WordPressコントリビューターの採用に関して。
技術的な話題からビジネス、キャリア、コミュニティの話題まで、活発な質問が交わされ、非常に濃い内容のセッションとなりました。その中から一部を紹介します。
WordPress REST API
まず、Joe Hoyleをゲストに迎えているということで、4.7.0〜4.7.1で存在し、4.7.2でフィックスされた「Unauthenticated Privilege Escalation Vulnerability in a REST API Endpoint(REST APIのエンドポイントにおいて、未認証状態にあって権限が昇格してしまうという脆弱性)」について彼に質問がありました。このセキュリティーフィックスについては下記の記事も参照ください。
WordPress 4.7.2 セキュリティーフィックスについての追加情報開示
- REST APIがマージされた後に、REST APIとは関係のないところで適用されたパッチがあった(get_post()関連)。このパッチとその他の要因が幾つか重なり、それらの複合作用によって起きた。
- この類のバグを事前に見つけるのは非常に難しい。対策としてはコードレビュアーを増やすことだが、増やせたとしても完璧に撲滅するのは難しい。とは言え、やはりより多くの人の目によって確認されるしかないのが現状。テスト、レビューの自動化も悪くないが、この類いは自動化によって見つけるのは難しい。
- (Bryceから:HackerOneのようなバグ・バウンティを利用してみては?)有効かもしれないが、WordPressのようなプロジェクトでは大きな懸賞金を設定することが難しい。
※Meetup開催後、WordPressがHackerOneでの脆弱性報告受け付けを開始したとの公式発表がありました。 - ともかく、今はより多くの人によってのレビューが必要。難しいのは、WordPressの中身を熟知したレビュアーが少ないことと、作業を主にボランティアに頼っていること。
- 存在するWordPressサイトが100%全てアップデートされることはありえない。アップデートを常に促していく必要があるのは他のソフトウェアと同じ。
また、今回の脆弱性を理由にREST APIの実装自体を疑問視する声があることについても、「今回は危険度が高い脆弱性であったが、だからといってREST APIの実装をやめるべきではないと思う」との考えでした。デフォルトでオフにしておく案も、「APIを使ったアプリやサービスなどの可能性を狭めてしまう。APIの存在を認知してもらえなくなる」といった懸念点をBryceがコメント。Joeも「インターネット上のアプリケーションの未来はAPIドリブンにある」との考えを示していました。
海外ではWordPressのマネージドホスティングを利用しているサイトが増加傾向にあるそうで、「今回の件でもマネージドホスティングを利用しているサイトはハッキングされていない」ので今後もそのような自動アップデートが増えることは期待したいということでした。
両者ともにWordPressを「オンライン・アプリケーション」としてとらえ、REST APIを通じてのデータ送受信手段が整備されることがもたらす可能性への大きな期待を抱いていると筆者は個人的に感じました。
Reactを使ったWordPressサイトなどの開発
JoeはReactを、BryceはVue.jsを使った開発経験があるということで、主にJoeが質問に答えてくれました。現状2つの方向性があり、1つはWordPressをバックエンドに使ってアプリやSPAを作成すること。もう1つはWordPressテーマをREST APIを使った手法で作る(作り替える)こと。
前者はWordPressのスタンダードに沿ったデータを扱うのであれば比較的難しくなく、その他のREST APIを利用した開発と同様。ライブラリも存在するし、パーマリンクも気にする必要がない。しかし、テーマの場合はルーティングなど、WordPressで行っていることを作り直す必要があり、ちょっとトリッキーとコメント。
関連して、バックエンドにWordPressを採用する際、WordPressのセキュリティ対策・状況についてステークホルダーにどのように説明すれば良いのか?という質問がありました。「一つ一つ、細分化して説明し、例えば、DBのセキュリティリスクはどのシステムを採用しても存在しうる、等を理解してもらう」とのアドバイスがJoeからありました。
Metorik
次に、Bryceが開発・運営しているサービス「Metorik(メトリック)」についてビジネスや技術、キャリア等について幅広い質問がありました。どのようにサービスのアイデアを練ったのか?アイデアはどこから来たのか?などについての回答としては、主にwoocommerce.comを開発・運営していた経験などからだそうで、確証はなかったが「自信はあった」とのことです。
サービスをリリースして約7ヶ月ですが、現状の収益は安定しており、世界中にカスタマーがいるとのこと。「意外とオーストラリアが多い」そうで(Bryceはオーストラリア在住)、マーケティングも「口コミが中心」なのと関係していそうです。なお、マーケティング手段としてはブログやポッドキャストなど、「Metorikをより知ってもらうためのコンテンツに投資していきたい」と語り、サービスを運営していくことに関する彼の価値観なども語ってくれました。
技術的な話題では、WooCommerceが多くのメタデータをカスタムフィールドに保存するため、クエリの内容によってはパフォーマンスが大きく低下し、サーバーに大きな負担がかかる問題について触れていました。Bryce自身も「収益レポートをサイト上で作成していたらタイムアウトになってサイト自体がダウンした」経験があるそうです。それらの技術的知見はMetorikの開発にも活かされており、プラグイン形式ではなく外部サービスとして開発を選択した経緯なども語ってくれました。
他にも、WooCommerceの一般的な質問もありました。「WooCommerceに適していないケースはあります?」との質問には「例えば商品が2種類しかないようなストアであれば、Shopify等のサービスを使った方が簡単」とし「逆に商品の数が非常に多かったり、複雑であったり、より細かくコントロールしたいのであればWooCommerceの方が適している」とのことでした。
最後に、「最初に少し作ってみた時にWooCommerceのREST APIを開発した人に見せてあげたら『クールだ!WooCommerceのREST APIが使われているのを初めて見た!』」というエピソードも教えてくれました。
リモートワークとWordPressへの貢献
Human Madeは社員が世界中に散らばっており、リモートで仕事をしています。どのようにリモートワークのチームを作ったら良いかとの質問があり、「あたり前だけど全てがオンライン化・デジタル化されている必要がある。コミュニケーションや決定事項など…それらを全て書き残しておいて、新しく加わった人も後から参照しておけるようにしておくことは重要」ということでした。また、このようなオンライン上での働き方や文化に慣れている人もいるが、慣れていない人もいるので全ての規則や手順などをHuman Madeではオンラインドキュメント化しているそうです。それから、このような働き方のスタイルでは人は寂しさを感じ、モチベーションも低下しがちになるのでそれらの点には注意が必要とのアドバイスがありました。
直近のCapitalPのポッドキャストにて「HumanMadeという会社にコントリビューターが増えてきた」という話題がありましたが、コントリビューターを採用する、あるいは社員がコントリビュートする、ということについて可能な範囲でJoeが答えてくれました。まず、コントリビュートしていると言うことはWordPressに関する経験があるという目安にはなる、しかしコントリビュート可能な理由はスキルレベル以外(空き時間の多さ、会社の方針など)の要因も大きいとし、同時に「コード以外の面でコントリビュートしている人の認知がWordPressプロジェクトの中でうまくできていない」問題も提起していました。2つめは、他のオープンソースプロダクト同様に、各社の事業戦略に関連するとのことでした。例えばHuman MadeはWordPressがセキュアであることは自社の事業に非常に重要だと考えており、今後もセキュアであるよう、現在5名の社員がWordPressのセキュリティ・チームに貢献していると教えてくれました。
まとめ
筆者は個人的にここ数年「WordPress × REST APIの時代が来る!」と話題のみ先行し、実例やビジネス成功例に乏しいなと感じていました。
しかしJoeの話を聞いて、少なくともREST APIチームはゆっくりでもその階段を一歩ずつ着実に登ろうとしているのではと思いました。参加者から日本でのWordPressの認知・採用も数年かかった指摘がありました。Joeからは海外でもAutomatticの大手メディアによる WordPress.com VIP ホスティングサービスの採用がエンタープライズでの採用に大きなインパクトをもたらしたとコメントがありました。WooCommerceのREST APIを利用した最初の事例はMetorikでしたが今では他に2つあるそうです。REST APIが未来であると確信し、どこかで起きるであろうブレイクスルーに備えている…そのような印象も彼らからは受けました。
ビジネスや事業戦略、コントリビューションの話も併せると、その流れ、ブレイクスルーはむしろ自分たちで作っていくのだ、と。それこそがオープンソース・プロジェクトなのでは?そういう意気込みも感じられました。
コメントを残す