Java、Python等开源组织联合声明：大企业应为开源基础设施付费

数码芝华士

开源安全基金会（OpenSSF）昨天发布声明，直言“开源基础设施并非免费”，并警告现代软件开发背后的关键基础设施正被推向崩溃边缘。

这份声明由八个组织共同签署，包括 Eclipse、Rust、PHP、Python、Java 基金会等，称 Maven Central、PyPI、crates.io、npm 和 Packagist 等软件包注册中心每月要处理数十亿次下载，但运营这些平台的组织往往只能靠少数捐款、资助和赞助商才能勉强维持运转。

这些组织共同认为，目前开源生态系统都被误导，某些大企业认为这些基础设施是免费且可以无限使用的，而实际上带宽、存储、人力和合规成本却在不断上升，快速依赖解析、签名包、零停机时间和快速响应供应链攻击等需求都需要资金支持才能实现。

他们还指出了某些企业或组织持续用大规模扫描器自动化轰炸注册中心，属“不良行为”，给容器构建和基础设施带来了巨大运维压力，同时某些智能体也在大规模抓取数据，加剧了问题，开源安全基金会认为这些都属于“浪费性使用”，最终受害的只有其他开发者。

IT之家注意到，开源安全基金会认为这种情况不可能持续下去，某些非营利组织和大型企业应该为这些基础设施买单，他们认为与商业用户建立合作关系、为大批量消费者保留分层访问模式、提供增值服务才是可持续发展之本，这样才能提高使用成本和透明度。