开源基础设施危机：OpenSSF警告免费时代即将终结

开源安全基金会（OpenSSF）已经受够了充当全球软件供应链无偿管理员的角色。

周二，多个重量级开源基金会通过该基金会发布联合声明，宣布"开源基础设施并非免费"，并警告现代软件开发背后的关键基础设施正被推向崩溃边缘。

Maven Central、PyPI、crates.io、npm和Packagist等软件包注册中心每月处理数十亿次下载，但运营这些平台的组织往往只能依靠捐款、资助和少数赞助商的善意勉强维持。

这份声明直言不讳地指出：整个生态系统被误导，以为可以依赖"免费且无限"的基础设施，而实际上带宽、存储、人员配备和合规成本正在急剧上升。

"商业规模的使用却没有商业规模的支持是不可持续的，"该组织写道，指出了对快速依赖解析、签名包、零停机时间和快速响应供应链攻击的需求，更不用说即将到来的监管要求，如欧盟的网络弹性法案。

这封公开信由八个组织签署，包括Eclipse基金会、Rust基金会、Sonatype和Python软件基金会。

声明进一步直接指出了不良行为。持续集成系统和大规模扫描器用自动化请求轰炸注册中心，而容器构建则给基础设施带来巨大压力。此外，智能体通过大规模抓取依赖项加剧了这个问题。该组织警告，所有这些都造成了"浪费性使用"，最终由其他人买单。

管理者们认为当前模式不可持续。少数非营利组织和几个企业赞助商为全球软件行业使用的基础设施买单。为解决这个问题，该组织提出了几项补救措施，包括与商业用户建立正式合作伙伴关系、为大批量消费者保留高级性能的分层访问模式、增值服务，以及提高使用和成本的透明度。

这并非第一次发出警告信号。今年7月，微软旗下的GitHub毫不讽刺地表示，政府应该将开源视为"数字公共基础设施"并相应提供资金支持，甚至在欧盟下一个预算中提议设立3.5亿欧元的"主权技术基金"。这是在人们日益担心生态系统脆弱性的背景下提出的，从志愿者倦怠到日益复杂的供应链攻击。

其他最近的爆发点突显了这种压力。今年早些时候，Asahi Linux项目负责人Hector Martin愤然辞职，指责Linus Torvalds团队允许政治和倦怠驱走人才。在旧金山，广告牌抨击科技巨头从开源中获利却不付费。自由软件资深人士Bruce Perens提出了"后开源零成本许可证"，旨在强制从开源代码中获利的公司进行财务贡献。

OpenSSF的声明是迄今为止最明确的尝试，告诉白嫖者派对结束了。它并不主张关门大吉，但论证了那些依赖它的人必须开始按比例付费来维持其运转。

风险在于这些警告可能会走许多前辈的老路：获得大量同情，但结构性变化甚少。当股东将免费视为特色而非缺陷时，要求企业自愿为其依赖的基础设施做贡献是一个艰难的推销。但今天声明背后的管理者们明确表示：必须有人买单，而且要快。

因为虽然"开源"可能仍然免费使用，但运营其背后的基础设施绝对不是，OpenSSF警告道。除非世界上最大的消费者开始掏钱，否则软件经济可能很快就会了解到停机的真正成本。

Q&A

Q1：OpenSSF为什么要发布这份联合声明？

A：开源安全基金会（OpenSSF）受够了充当全球软件供应链无偿管理员的角色。现代软件开发背后的关键基础设施正被推向崩溃边缘，运营这些平台的组织往往只能依靠捐款、资助和少数赞助商的善意勉强维持，而带宽、存储、人员配备和合规成本正在急剧上升。

Q2：开源基础设施面临哪些具体压力？

A：持续集成系统和大规模扫描器用自动化请求轰炸注册中心，容器构建给基础设施带来巨大压力，智能体通过大规模抓取依赖项加剧问题。同时还面临对快速依赖解析、签名包、零停机时间和快速响应供应链攻击的需求，以及欧盟网络弹性法案等监管要求。

Q3：OpenSSF提出了哪些解决方案？

A：该组织提出了几项补救措施，包括与商业用户建立正式合作伙伴关系、为大批量消费者保留高级性能的分层访问模式、提供增值服务，以及提高使用和成本的透明度。核心思想是那些依赖开源基础设施的企业必须开始按比例付费来维持其运转。