摘要：运营全球最大软件包注册机构的八家组织同步发出警示，称其当前的融资模式“岌岌可危”，这预示着支撑每月数十亿次软件下载的企业级基础设施访问方式可能面临调整。

八大主流基金会发出警告：基于捐赠的关键基础设施模式正濒临崩溃。

运营全球最大软件包注册机构的八家组织同步发出警示，称其当前的融资模式“岌岌可危”，这预示着支撑每月数十亿次软件下载的企业级基础设施访问方式可能面临调整。

这封以公开信形式发布在开源安全基金会（OpenSSF）网站上的联合声明，汇集了Python软件基金会、Rust基金会、Eclipse基金会、OpenJS基金会等主要开源管理机构的负责人。这也是这些每年处理“数万亿次”下载、主要由商业软件驱动的基础设施机构，首次就可持续资金问题发出统一呼吁。

OpenSSF在一篇题为《开放基础设施不是免费的》博文中指出：“没有商业规模的支持，商业规模的使用是不可持续的。”声明警告，行业正面临一个“关键拐点”，可能将迫使访问模式、定价结构或面向海量用户的服务水平发生改变。

相关注册机构——包括Python的PyPI、Java的Maven Central、Rust的crates.io和JavaScript的npm——几乎是所有现代软件开发的核心基础设施。文章补充说，每家企业的CI/CD流水线、依赖项扫描工具和自动构建系统都依赖这些服务，通常每天免费发出数千次请求。

需求激增，可持续资金难以跟上

基金会在博文中指出，自动化CI系统、大规模依赖扫描工具以及企业运行的临时容器构建，“给基础设施带来巨大压力”，而这些系统往往缺乏缓存、流量限制或对公共系统影响的认知。

人工智能的兴起更是让情况雪上加霜。文章提到：“生成式人工智能和代理AI的崛起，正推动机器驱动的自动化使用呈爆炸式增长，且往往造成资源浪费。”它们描述了那些在没有缓存等基本效率措施的情况下，对注册机构发起海量请求的系统。

自动化消耗激增的同时，还伴随着新的监管要求，例如欧盟的《网络韧性法案》。基金会表示，这类法规给本已资源紧张的生态系统增加了合规负担。

博文透露，尽管这些基金会每月提供数十亿甚至数万亿次下载，但许多服务仅依赖少量捐赠者的资金，而绝大多数大型商业用户只消费不贡献，未能支持其可持续性。“许多代码仓库的需求呈指数级增长，而赞助支持的增长最多只是线性的。”

关键基础设施濒临极限的警示

这一警告并非空穴来风。2021年12月的Log4Shell漏洞暴露出，互联网上一些最关键的基础设施竟依赖无偿志愿者维护。Log4j这一几乎让互联网停摆的日志库，虽支撑着价值数十亿美元的商业软件，却仅有少数缺乏资金支持的开发人员维护。

如今，基金会决定划清底线。博文称：“这（还）不是一场危机，但已是一个关键转折点。”依赖规模之大令人震惊：哈佛与GitHub的一项研究估计，从头重建核心开源基础设施将耗资41.5亿美元。然而，尽管组织每年为开源开发投入77亿美元，但绝大多数用于支付内部项目或代码贡献的员工薪酬，而非资助分发这些软件的关键公共注册机构。

基金会指出，这种严重失衡已不容忽视。

商业分发引发新问题

基金会还指出了一个可能让企业用户意外的事实：它们的注册机构正日益成为专有软件的分发平台。“公共注册库已成为商业供应商的免费全球CDN，”文中写道，企业如今常利用开源基础设施分发专有SDK和工具。

尽管基金会不认为这“本质上是错误的”，但强调这并非初始设计目标。这些系统“本是为支持开放、社区驱动的软件分发而创建，而非作为专有产品交付的通用后端”。

未来走向何方

基金会明确表示，变革势在必行。它们正在探索多种路径，这些方案听起来与企业熟悉的基础设施服务定价模式颇为相似。

考虑中的选项包括“根据使用比例资助基础设施的商业与机构合作计划”，以及“分层访问模式”——在保持对普通用户开放的同时，为高用量消费者提供可扩展的性能或可靠性选项。

“这些并非激进想法，”他们补充道，“而是互联网带宽和云计算等共享系统中已采用的实用、常识性措施。”

基金会敦促企业立即“审视自身实践”，建议实施缓存、减少冗余流量，并与基础设施管理者就“按比例贡献”进行沟通。它们传递的统一信号是：免费午餐的时代已经结束。

来源：AI中国一点号