夜雨聆风你手机里的App,90%的运行代码来自开源软件。安卓系统基于Linux内核,Chrome浏览器基于Chromium,微信、支付宝、抖音的后台服务器跑在Nginx和Node.js上。这些开源项目免费提供给全世界使用,但维护它们的人,正在集体崩溃。
这就是“开源可持续性危机”。一个典型例子是Faker.js——一个被数百万项目依赖的JavaScript库,用于生成测试数据。2022年,它的作者因为长期被大公司无偿使用而得不到任何回报,一怒之下删除了全部代码,导致成千上万个项目构建失败。
这不是个例。核心基础设施的维护者往往只有一个人或一个小团队。Log4j漏洞席卷全球时,人们才发现这个Java日志库的主要维护者只有几个兼职志愿者。Heartbleed漏洞暴露了OpenSSL的尴尬处境——这个加密了整个互联网的软件,只有两个全职开发者和每年不到2000美元的捐款。
问题的根源是“价值与回报的错位”。一个开源项目可能被Google、Amazon、Meta这样的巨头深度依赖,但维护者得到的回报几乎为零。大公司的逻辑是:代码是公开的,我们用了但没违反协议,为什么要给钱?维护者的逻辑是:你们赚了几十亿,我连服务器费用都要自己掏。
解决方案正在探索中。GitHub Sponsors让用户可以直接赞助开发者,但金额杯水车薪。开源基金会的“托管模式”为大项目提供法律和资金支持,但中小项目依然被忽视。最激进的想法是“开源合作社”——大公司按使用量付费,成立共同基金分配给维护者。
值得欣慰的是,欧盟已经启动了开源软件审计和资助计划,美国白宫也召开了开源安全峰会。但在更广泛的层面上,问题的核心不是钱,而是认知——整个科技行业需要承认:开源不是免费的午餐,它建立在无数志愿者的无偿劳动之上。
下一次当你npm install或pip install时,不妨想想背后那个可能正在熬夜修bug的人。
