随着数字化转型的不断加速,开源软件已经成为推动现代技术创新和软件开发的基石。从全球范围内数以十亿计的下载次数可以看出,开源软件包注册库如Maven Central、PyPI、crates.io、npm和Packagist等,正支撑着整个软件供应链的稳定运作。然而,尽管依赖程度日益加深,运营管理这些关键基础设施的组织却常常面临资金短缺和资源匮乏的困境。2025年9月,开源安全基金会OpenSSF联合包括Eclipse基金会、Rust基金会、Sonatype和Python软件基金会等八个重量级开源组织发布联合声明,强烈警示开源基础设施的实际运营成本正迅速攀升,而现有的免费模式已经无法持续。联合声明直指通过"善意和祈祷"来维系开源基础设施的日子已经一去不复返,商业规模的使用必然要求商业规模的支持。现代软件开发对包注册库的依赖不仅表现为庞大的访问量和下载次数,更包括对性能、安全、合规,以及持续集成和供应链安全的苛刻需求。
如今,包注册库不仅需要保证快速的依赖解析、签名包的完整性和零停机时间,还必须应对越来越频繁、复杂的供应链攻击威胁和即将到来的监管要求,例如欧盟的网络弹性法案(Cyber Resilience Act)。然而,维护这些庞大且复杂基础设施的资金却主要依赖于少数非营利组织、零散的捐赠和几位赞助商的善心支持,资源远远无法满足日益增长的需求。更令人担忧的是,一些自动化行为和滥用现象进一步加剧了基础设施的负担。持续集成系统和大型扫描器对注册库发起大量自动请求,容器构建给基础设施带来了极大的压力。而人工智能代理的大规模依赖抓取更是雪上加霜,造成了大量浪费性的资源消耗。这部分由他人承担的"免费"成本,长此以往必将威胁整个开源生态的稳定性和安全性。
面对这一严峻现状,OpenSSF及其合作伙伴呼吁行业内各方正视开源基础设施的账单,推行公平合理的成本分摊模式。他们提出多项可能的解决方案,涵盖与商业用户建立正式合作关系、推行分层访问模型以优先保障高流量用户的优质服务、提供增值服务,以及增强使用和成本透明度,以期实现可持续发展。事实上,类似呼吁并非首次出现。早在2025年7月,微软旗下的GitHub便倡议政府应将开源视为"数字公共基础设施",并推动设立数亿欧元的"主权科技基金"来支持生态系统的长期稳定。而近期开源社区内的多起事件也从不同角度指出体系内的隐患。例如,Asahi Linux项目负责人因政治因素和持续的人员倦怠宣布离职,凸显人才流失问题的严重性。
还有公益软件老将提出商业获益方必须承担资助义务的"零成本后开源许可",直击目前开源模式的弱点。本次OpenSSF声明的意义在于,它既非简单的诉苦,也非拒绝共享开放的理念,而是明确要求现阶段依赖开源基础设施的企业和用户必须合理承担费用,否则整条供应链的"公用设施"极有可能出现瘫痪。尽管呼吁难以避免遭遇来自部分企业的抵触,原因在于"免费"一度被视为开源的核心优势和卖点,但生态系统背后的维护成本从未消失。未来,若无法解决融资困局,开源生态乃至整个软件经济都将面临因服务中断导致的严重后果。鉴于此,行业内对于构建健康可持续的开源资助机制的探讨愈发迫切,各方应积极寻找平衡点,以促进开源生态长期繁荣和安全稳定发展。简单来说,开放免费并不等于运维免费。
保障开源基础设施的健康发展,需要从各个利益相关方中赢得共识和支持,规范使用行为,合理分摊运营成本,共赴数字未来的安全与创新之路。 。
