2024年10月12日付けで発表されたWordPress公式ニュースによると、Advanced Custom FieldsがSecure Custom Fieldsに変更となった。所有者がWordPress.orgとなっているが、これは単純なフォークではなく、スラッグがそのままなので、既存のACFユーザーがWordPress管理画面からアップデートした場合、今後はこのSCFが使われることになる。
こうしたハイジャックと呼んでもよい手法について、WordPress公式ニュース(書いたのはマット・マレンウェグだが)は以下のように説明している。
WordPress セキュリティチームを代表して、プラグインディレクトリのガイドライン第18項を適用し、「Advanced Custom Fields (ACF)」をフォークして新しいプラグイン「Secure Custom Fields (SCF)」を公開することを発表します。SCF は、商業的なアップセルを削除し、セキュリティ問題を修正するために更新されています。
要するに、セキュリティチームとしてガイドライン18項を適用したということなのだが、この18項は公式プラグイン管理チームにプラグインの変更権限を与えるものなので、要するになんでもできるのである。とはいえ、通常は「犯罪捜査の対象になっているが犯人は作者である」「プラグインにとんでもない脆弱性が見つかったが作者と連絡が取れない」などの非常事態のためにこうした余地を残しておくものだ。「この変更は例外的なもので、WP Engineによる訴訟が理由であり、一般的なプラグインには適用されない」とのことだが、公式ディレクトリの信頼喪失は免れないだろう。
以前お伝えした通り、WP Engineの従業員であるACFの開発者がWordPress.orgにログインできなくなったことで、プラグインのアップデートが提供できなくなっていた。いまではログインするときに「WP Engineと金銭的な関わりを持たないこと」を要求されるほどだ。
その後、(おそらくはマットに賛同していないだろう)セキュリティーチームの善意により、WordPressのACFはアップデート版が提供されていたが、その後さらに「商業的なアップセルを削除し、セキュリティパッチをあてた」とされる新バージョンが公開された。これが今回のSCFである。
ACF Proおよび、WP Engineユーザー(日本にはあまりいないだろうが)には影響はないが、公式ディレクトリのままのバージョンを利用しているユーザーは、本家のACFをダウンロードした方が余計な争いに巻き込まれなくて安全かもしれない。
これまでの変更でいちばんユーザーに対して影響の多い変更で、WordPressユーザーの信頼は大きく損なわれてしまうだろう。が、「とっととこの騒動が治りますように」という筆者を含めた第三者(筆者はACFもWP Engineを使わない)の願望とは裏腹に、マットは「みんなでこの問題を考えてほしい」ようなので、我々ははからずも Get Involvedされてしまっているのである。
こうなると、今後もこうしたドラスティックな変更がありえるかもしれないので、せめてこの諍いが有益な決着を見ることを望みたい。
Automattic VS WP Engineの流れ
そもそもの発端から最近の流れを箇条書きでまとめておく。
- マットがWordCamp US 2024の質問コーナーで突然WP Engineとその投資会社(Private Equity)であるシルバーレイクを糾弾。
- WP EngineがマットとAutomatticを商標濫用で提訴。マットがゴッドモードに突入する。
- マットがこの事件以前よりWP Engineと交渉を繰り返していたことが判明する。現在では和解のための金額が「WP Engineの収益の8%」にまで吊り上がる。
- WordPress.orgにWP Engineの従業員がアクセスできないように。また、WP Engineにホストされたサイトは公式ディレクトリにアクセスできないようになる。
- ライアン・マッキュー(REST APIの作者)ほか、著名なコントリビューターを含めたユーザーがコミュニティSlackやWordPressのXからブロックされはじめる。
- Automatticから大量退職。
- WordPress.orgにログインするためには「WP Engineから支援を受けていないこと」が要求されるようになる。
- Advanced Custom FieldsがSecure Custom Fieldsになる。
- Ruby on Railsの作者DHHなどがマットを批判。マットはそれに対して反論する。