开源领域正在上演一场新的传奇。开源网络内容管理系统WordPress的创始人马特·穆伦维格 (Matt Mullenweg )指控WordPress 网站托管服务提供商WP Engine侵犯了 WordPress 商标。WordPress 为全球约 40% 的网站提供支持。目前,两家公司正陷入一场法律纠纷。
正如 Mullenweg在其个人网站上的一篇文章中所写,“我们为 WP Engine 提供了如何支付其应得份额的选择:要么直接支付许可费,要么向开源项目提供实物捐助。这不是为了捞钱:这是对任何从开源项目中赚取数亿美元的企业都应该回馈的期望,如果他们不这样做,那么他们就不能使用其商标。”
Mullenweg 还批评 WP Engine虽然从该开源项目中获利颇丰,但却没有投入足够的时间。WP Engine 进行了反击,并向 Mullenweg 和WordPress 背后的公司Automattic提起了诉讼。
此次灾难的核心是开源内容管理系统Drupal的创始人Dries Buytaert所说的“制造者-接受者问题”。他在一篇博客文章中写道:“开源软件的创造者(制造者)发现他们的成果被其他人(通常是服务提供商)使用,这些人从中获利,却没有以有意义或公平的方式做出贡献(接受者)。
对于应用程序监控软件公司Sentry的开源负责人Chad Whitacre来说,“我们拥有的开源许可证的意义在于这种无需许可的共享——这是开源的福音,也是它的诅咒。每个人都可以使用它,但这恰恰使我们处于无法直接通过市场支持它的境地。”
开源开发者的不满情绪正在上升
WordPress 和 WPEngine 之间的冲突也凸显了开源技术的转型作用。最初是由热情、具有协作精神的软件开发人员发起的小型、新兴项目,如今已发展成为庞大的计算机和互联网基础设施的重要组成部分。事实上,Linux 基金会估计,当今大约70% 到 90%的应用程序都是由开源软件组成的。
对开源的依赖性增加给项目维护者带来了压力,尤其是在提供及时的软件更新和关键安全修复方面。2021 年末,广泛使用的 Log4j 工具中的一个漏洞是开源世界中备受关注的安全事件之一。今年早些时候,发现了一个针对 Linux 压缩工具的后门攻击——攻击者冒充贡献者,在两年内赢得了维护者的信任,从而允许攻击者将危险代码插入该工具。这两个安全漏洞都出现在由小型团队甚至是单独的志愿者维护的小型开源项目中,这些项目都隶属于大型企业。
使这一挑战雪上加霜的是,维护人员的倦怠感日益加重,这预示着灾难即将来临。根据Tidelift的一项 2024 年调查,一家与开源维护人员合作并向其支付费用以实施安全软件开发实践的公司,受访者最不喜欢成为维护人员的三大原因包括没有得到足够的经济报酬或根本没有得到报酬、感觉自己没有得到应有的重视或“工作吃力不讨好”,以及增加了个人压力。因此,超过一半的维护人员已经辞职或考虑辞职也就不足为奇了。
如何解决开源危机
那么,从开源项目中受益的公司如何才能更好地支持社区呢?Whitacre建议“利用三个杠杆来解决开源可持续性危机,并避免让维护者精疲力竭”。这三个杠杆围绕着商业化、税收和社会认可。
商业化是传统途径,即寻找商业模式来资助开源项目。“你不是直接为开源软件付费,而是为支持或资助开源工作的其他东西付费,”Whitacre说。他引用了一个经典的例子,即让软件本身免费开源,但对支持和服务收费。“商业化杠杆的关键是你需要某种稀缺的东西来做生意。开源在定义上和意图上都是后稀缺的,所以你必须找到其他稀缺的东西。”
征税是经济上支持开源技术的另一种方式。例如,在德国,联邦经济事务和气候行动部正在资助主权科技基金,这是主权科技局的一项计划,投资于“有益于和加强开源生态系统的项目”。目前资助的项目包括类 Unix 操作系统FreeBSD 、 Java 生态系统测试框架JUnit 、PHP编程语言背后的PHP 基金会,以及托管一系列 JavaScript 项目的OpenJS 基金会。
主权科技局管辖范围内的类似项目包括一项奖学金,用于向开源维护者支付报酬,并提供提高开源软件弹性的服务,例如代码安全审计、帮助解决已知安全问题以及漏洞赏金和修复平台。正如主权科技局所指出的:“开源生态系统虽然取得了巨大的成功,但也越来越脆弱。使用软件的人比为软件做出贡献的人多得多。现在是时候投资数字公共资源、志愿者社区和开源生态系统,以构建我们希望看到的数字世界了。”
Whitacre认为,最后一个难题是社会认可。Drupal 通过信用系统来认可和激励贡献者的努力,从而实现这一目标。为 Drupal 做出贡献的个人和组织(无论是通过代码、文档、提交展示软件成功的案例研究还是财务支持)都可以获得信用,这些信用包括 Drupal 网站上的曝光度和广告,以及早期访问、折扣和活动赞助等福利。
企业可以承诺提供帮助
作为开源誓言组织的领导者,Whitacre本人正在利用社会认可的力量,该组织致力于直接向维护者支付报酬。通过加入该誓言,公司每年至少向他们选择的开源维护者支付每位全职开发人员 2,000 美元。“这意味着,如果一家公司雇佣了 50 名开发人员,那么他们每年至少要向他们所依赖的开源软件的维护者支付 100,000 美元,”Whitacre解释说。
开源承诺的成员还必须发布一篇博客文章,详细说明他们向维护者支付的费用。“我们需要公司在自己的博客上,用自己的声音,表达他们对承诺的支持和参与,以鼓励其他公司也这样做,”Whitacre说。“这是为了问责和提高认识。”
开放源代码誓言刚刚成立一个多月,目前只有二十几个成员,其中大部分是“规模较小、以开发者为重点的初创公司,从一开始就与开放源代码高度契合”,Whitacre说。该组织的目标是扩展到大型企业,这可能需要一些时间。
展望开源软件的未来,Whitacre希望看到更多像 Drupal 这样的方案,并希望看到政府机构和技术部门共同推动开源项目的管理。
“通过承诺,我们试图让资金正常流动,但这只是方程式的一半,”Whitacre说。“这是非常重要的一半,也是我们现在需要开始和关注的部分。另一方面是如何确保资金真正发挥我们想要的作用。我们需要从整个行业中激发这种承诺,扩大它,并让其他公司加入我们。”
参考链接
https://spectrum.ieee.org/open-source-crisis
END
文章来源:半导体行业观察 公众号
