
感谢热心网友提供的线索。9月24日,开源安全基金会发表声明,强调“开源基础设施并非免费”,并发出警示:支撑现代软件开发的关键基础设施正面临崩溃风险。
该声明由包括Eclipse、Rust、PHP、Python、Java基金会等在内的八个组织联合签署。声明指出,Maven Central、PyPI、crates.io、npm和Packagist等核心软件包注册中心每月需承载数百亿次下载请求,而负责运营这些平台的团队大多仅依靠少量捐款、有限资助和少数赞助商维持运转,资源极度紧张。
各方共同指出,当前开源生态存在严重认知误区,部分大型企业误以为这些基础设施可无偿无限使用。实际上,随着带宽、存储、人力投入及合规要求的持续增长,维持系统稳定运行的成本不断攀升。诸如快速依赖解析、软件包签名、零停机保障以及应对供应链攻击等关键功能,均需充足资金支持才能实现。
声明还批评了某些企业或机构长期使用自动化扫描工具频繁访问注册中心的行为,认为此类“不良使用”模式对构建服务和底层架构造成巨大运维压力。同时,部分智能体大规模抓取公开数据的行为进一步加剧了资源消耗,被定义为“浪费性使用”,最终损害的是广大普通开发者的正常使用体验。
目前形势已难以为继。开源安全基金会呼吁,非营利组织和大型商业用户应承担更多责任,为基础设施提供稳定资金支持。建立与商业用户的协作机制,推行分层访问策略,面向高频使用者提供增值服务,是实现长期可持续发展的关键路径。唯有提升成本透明度并合理分摊支出,才能确保开源生态健康运转。
