9月24日,开源安全基金会(OpenSSF)发布重要声明,直言不讳地指出"开源基础设施并非免费午餐",并警示当今软件开发所依赖的核心基础设施已面临崩溃风险。
这份联合声明由Eclipse、Rust、PHP、Python和Java等八大知名基金会共同签署。声明中指出,Maven Central、PyPI、crates.io、npm和Packagist等主流软件包注册中心每月承载着数十亿次下载流量,但支撑这些平台运行的往往只是有限的捐款、零星资助和少量赞助,运营状况捉襟见肘。

基金会联盟指出,当前行业对开源生态系统存在严重误判,部分企业将其视为可以无限榨取的免费资源。实际上,随着带宽消耗、存储需求、人力投入和合规成本的持续攀升,包括依赖解析、软件包签名、高可用运维以及快速应对供应链攻击等关键功能,都需要充足的资金保障才能实现。
声明特别批评了某些组织滥用自动化扫描工具"轰炸"注册中心的不当行为。这类"数据收割"操作不仅给容器构建和基础设施带来巨大运维压力,还严重影响了其他开发者的正常使用。开源安全基金会将此类行为定性为"资源滥用",最终损害的是整个开发者社区的权益。
值得注意的是,基金会强调现有模式难以为继,呼吁受益企业与大型机构承担起资助责任。他们建议通过建立商业合作关系、实施分级访问机制、提供增值服务等可持续方案,在保证使用透明度的前提下,实现基础设施的长期健康发展。
