Offener Brief

Open Source: Offene Infrastruktur ist nicht kostenlos

Offene Infrastruktur, open source kostenlos, open source verantwortung, Open-Source, Open Source, Open-Source-Infrastruktur
LinkedInRedditWhatsAppPocket

Milliardenfach genutzt, aber unzureichend finanziert: Öffentliche Open-Source-Infrastruktur steht vor einem Wendepunkt. In einer gemeinsamen Stellungnahme rufen führende Organisationen wie die Eclipse Foundation jetzt zu mehr Verantwortung bei der Nutzung und Finanzierung öffentlicher Software-Infrastrukturauf.

In den letzten zwei Jahrzehnten hat Open Source die Art und Weise, wie Software entwickelt wird, revolutioniert. Jede moderne Anwendung, egal ob sie in Java, JavaScript, Python, Rust, PHP oder anderen Sprachen geschrieben ist, braucht öffentliche Paket-Registries wie Maven Central, PyPI, crates.io und open-vsx, um Abhängigkeiten abzurufen, zu verbreiten und zu validieren. Diese Registries sind zu einer grundlegenden digitalen Infrastruktur geworden – nicht nur für Open Source, sondern für die gesamte globale Software-Lieferkette.

Anzeige

Über Paket-Registries hinaus sind Open-Source-Projekte auch auf wichtige Systeme für die Erstellung, das Testen, die Analyse, die Bereitstellung und den Vertrieb von Software angewiesen. Dazu gehören auch Content Delivery Networks (CDNs), die globale Reichweite und Leistung in großem Maßstab bieten, sowie gespendete (in der Regel Cloud-)Rechenleistung und Speicherplatz, um diese zu unterstützen.

Und doch arbeiten die meisten dieser Systeme trotz ihrer Bedeutung unter einer gefährlich fragilen Prämisse: Sie werden oft auf eine Weise gewartet, betrieben und finanziert, die eher auf gutem Willen basiert als auf Mechanismen, die Verantwortung und Nutzung in Einklang bringen.

Obwohl sie jeden Monat Milliarden (vielleicht sogar Billionen) von (größtenteils kommerziellen) Downloads bedienen, werden viele dieser Dienste von einer kleinen Gruppe von Wohltätern finanziert. Manchmal werden sie von kommerziellen Anbietern wie Sonatype (Maven Central), GitHub (npm) oder Microsoft (NuGet) unterstützt. In anderen Fällen werden sie von gemeinnützigen Stiftungen unterstützt, die auf Zuschüsse, Spenden und Sponsoring angewiesen sind, um ihre Wartung, ihren Betrieb und ihr Personal zu finanzieren.

Anzeige

Unabhängig vom Betriebsmodell bleibt das Muster dasselbe: Eine kleine Zahl von Organisationen trägt den Großteil der Infrastrukturkosten, während die überwältigende Mehrheit der Großnutzer – darunter auch kommerzielle Unternehmen, die Nachfrage erzeugen und wirtschaftlichen Nutzen daraus ziehen – diese Dienste verwendet, ohne zu ihrer Nachhaltigkeit beizutragen.

Moderne Erwartungen, reale Infrastruktur

Vor nicht allzu langer Zeit bedeutete die Pflege eines Open-Source-Projekts das Hochladen eines Tarballs von einem lokalen Rechner.

Heute sind die Erwartungen ganz anders:

  • Die Auflösung und Verteilung von Abhängigkeiten muss schnell, zuverlässig und global erfolgen.
  • Die Veröffentlichung muss überprüfbar, signiert und unveränderlich sein.
  • Continuous-Integration-Pipelines (CI) erwarten deterministische Builds ohne Ausfallzeiten.
  • Sicherheitstools erwarten eine sofortige Reaktion von öffentlichen Registries.
  • Regierungen und Unternehmen verlangen eine kontinuierliche Überwachung, Rückverfolgbarkeit und Überprüfbarkeit von Systemen.
  • Neue regulatorische Anforderungen, wie beispielsweise der EU Cyber Resilience Act (CRA), erhöhen die Compliance-Verpflichtungen und Dokumentationsanforderungen weiter und verursachen zusätzlichen Aufwand für bereits ressourcenbeschränkte Ökosysteme.
  • Die Infrastruktur muss auf andere Arten von Angriffen reagieren können, zum Beispiel Spam und vermehrte Angriffe auf die Lieferkette.

Diese Erwartungen sind mit realen Kosten an Bandbreite, Rechenleistung, Speicherplatz, CDN-Distribution, Betrieb und Notfallunterstützung verbunden. Dennoch leisten die meisten Organisationen, die von diesen Diensten profitieren, keinen finanziellen Beitrag, sodass eine kleine Gruppe von Verwaltern die Last tragen muss.

Automatisierte CI-Systeme, groß angelegte Dependency-Scanner und kurzlebige Container-Builds, die häufig von Unternehmen betrieben werden, belasten die Infrastruktur enorm. Diese Workloads im kommerziellen Maßstab laufen oft ohne Caching, Drosselung oder gar Bewusstsein für die Belastung, die sie verursachen. Der Aufstieg der generativen und agentenbasierten KI treibt eine weitere Explosion der maschinengesteuerten, oft verschwenderischen automatisierten Nutzung voran und verschärft die bestehenden Herausforderungen.

Die Illusion einer „kostenlosen und unbegrenzten” Infrastruktur ermutigt zu verschwenderischer Nutzung.

Vertrieb proprietärer Software

In vielen Fällen werden öffentliche Register mittlerweile nicht nur für die Verteilung von Open-Source-Bibliotheken, sondern auch für proprietäre Software genutzt, oft als Binärdateien oder Software Development Kits (SDKs), die als Dependencies gepackt sind. Diese Projekte sind zwar lizenzrechtlich Open Source, funktional jedoch Teil eines kostenpflichtigen Produkts oder einer kostenpflichtigen Plattform.

Für den Herausgeber ist dieses Modell effizient. Es bietet die Zuverlässigkeit, Leistung und globale Reichweite einer öffentlichen Infrastruktur, ohne dass diese aufgebaut oder gewartet werden muss. Im Endeffekt sind öffentliche Registries zu kostenlosen globalen CDNs für kommerzielle Anbieter geworden.

Wir glauben nicht, dass dies grundsätzlich falsch ist. Tatsächlich ist es in gewisser Weise verständlich. Öffentliche Registries bieten Geschwindigkeit, globale Verfügbarkeit und eine vertrauenswürdige Distributionsinfrastruktur, die von ihren Zielnutzern bereits verwendet wird, sodass es für kommerzielle Herausgeber sinnvoll ist, sich auf sie zu konzentrieren. Es ist jedoch wichtig zu erkennen, dass dies nicht die ursprüngliche Intention dieser Systeme war. Open-Source-Paketierungs-Ökosysteme wurden geschaffen, um die Verteilung von offener, gemeinschaftlich entwickelter Software zu unterstützen, und nicht als universelles Backend für die Bereitstellung proprietärer Produkte. Wenn diese Register nun beide Funktionen erfüllen und dies in großem Umfang tun, ist das in Ordnung. Es bedeutet aber auch, dass es an der Zeit ist, Erwartungen und Anreize in Einklang zu bringen.

Eine kommerzielle Nutzung ohne kommerziellen Support ist nicht nachhaltig.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Der Weg zur Nachhaltigkeit

Es ist nicht zu erwarten, dass Open-Source-Infrastrukturen auf unbegrenzte Zeit auf der Grundlage unausgewogener Großzügigkeit betrieben werden können. Die eigentliche Herausforderung besteht darin, nachhaltige Finanzierungsmodelle zu schaffen, die sich an der Nutzung orientieren, anstatt sich auf informelle und inkonsistente Unterstützung zu verlassen.

Es besteht ein Unterschied zwischen nachhaltigem Betrieb und einem Betrieb ohne Leitplanken, bei dem kein sinnvoller Zusammenhang zwischen Nutzung und Verantwortung besteht.

Heute ist diese Unterscheidung oft verschwommen. Open-Source-Infrastruktur – ob von Unternehmen getragen oder von gemeinschaftlich geführten Stiftungen – sieht sich steigender Nachfrage gegenüber, angetrieben durch die Nutzung in Unternehmensdimensionen, ohne dass verlässliche Mechanismen vorhanden wären, um die Finanzierung entsprechend auszuweiten. Dokumentierte Beispiele zeigen, wie dieses Ungleichgewicht die Kosten des Ökosystems in die Höhe treibt, und veranschaulichen die realen Folgen der Illusion, dass jegliche Nutzung kostenlos und unbegrenzt ist.

Für Stiftungen kann diese Herausforderung besonders akut sein. Viele sind mit der Bereitstellung kritischer öffentlicher Dienste betraut, müssen dies jedoch mit Spendengeldern, Zuschüssen und zeitlich begrenzten Sponsorenbeiträgen tun. Dies erschwert die langfristige Planung und schränkt oft die Fähigkeit ein, proaktiv in Personal, Sicherheit der Lieferkette, Verfügbarkeit und Skalierbarkeit zu investieren. Gleichzeitig verzeichnen viele dieser Repositories exponentiell wachsende Nachfrage, während das Wachstum der Sponsorunterstützung bestenfalls linear verläuft. Dies stellt eine Herausforderung dar für die finanzielle Stabilität der gemeinnützigen Organisationen, die sie verwalten.

Gleichzeitig bleibt die seit langem bestehende Herausforderung der Finanzierung von Maintainern ungelöst. Trotz jahrelanger Experimente und gut gemeinter Initiativen erhalten die meisten Maintainer kritischer Projekte nach wie vor wenig oder gar keine nachhaltige Unterstützung, sodass sie in ihrer Freizeit eine enorme Verantwortung tragen müssen. In vielen Fällen werden genau diese unterfinanzierten Projekte von den Stiftungen unterstützt, die bereits die Last der Infrastrukturkosten tragen. In anderen Fällen werden die knappen Mittel umgeleitet, um den Betriebs- und Personalbedarf der Infrastruktur selbst zu decken.

Wenn es uns gelänge, ein besseres Gleichgewicht und eine bessere Abstimmung zwischen der Nutzung und der Finanzierung der Open-Source-Infrastruktur herzustellen, würde dies nicht nur die Widerstandsfähigkeit der Systeme stärken, auf die wir alle angewiesen sind, sondern auch bestehende Investitionen freisetzen und den Stiftungen mehr Spielraum geben, um die Maintainer, die das Rückgrat von Open Source bilden, direkt zu unterstützen.

Milliarden-Dollar-Ökosysteme können nicht auf Fundamenten von gutem Willen und unbezahlten Wochenenden gebaut werden.

Was muss sich ändern?

Es ist an der Zeit, praktische und nachhaltige Ansätze zu verfolgen, die die Nutzung besser mit den Kosten in Einklang bringen. Zwar wird jedes Ökosystem die Ansätze verfolgen, die in seinem eigenen Kontext am sinnvollsten sind, doch besteht überall Handlungsbedarf. In folgenden Bereichen sollten Maßnahmen geprüft werden:

  • Kommerzielle und institutionelle Partnerschaften, die dazu beitragen, die Infrastruktur proportional zur Nutzung oder im Austausch für strategische Vorteile zu finanzieren.
  • Gestaffelte Zugangsmodelle, die die Offenheit für die allgemeine und individuelle Nutzung aufrechterhalten und gleichzeitig skalierte Leistungs- oder Zuverlässigkeitsoptionen für Großverbraucher bieten.
  • Mehrwertfunktionen, die für kommerzielle Unternehmen von Interesse sein könnten, wie beispielsweise Nutzungsstatistiken.

Dies sind keine radikalen Ideen. Es handelt sich um praktische, vernünftige Maßnahmen, die bereits in anderen gemeinsam genutzten Systemen wie Internetbandbreite und Cloud Computing zum Einsatz kommen. Sie halten die offene Infrastruktur zugänglich und fördern gleichzeitig die Verantwortung in großem Maßstab.

Nachhaltigkeit bedeutet nicht, den Zugang zu verwehren, sondern den Fortbestand zu sichern und in die Zukunft zu investieren.

Gemeinsame Ressource, gemeinsame Verantwortung

Wir sind stolz darauf, die Infrastruktur und Systeme zu betreiben, die das Open-Source-Ökosystem und die moderne Softwareentwicklung antreiben. Diese Systeme dienen Entwicklern in allen Bereichen, in allen Branchen und in allen Regionen der Welt.

Ihre Nachhaltigkeit kann jedoch nicht weiterhin ausschließlich von einer kleinen Gruppe von Spendern oder stillen Wohltätern abhängen. Wir müssen von einer Kultur der unsichtbaren Abhängigkeit zu einer Kultur ausgewogener und abgestimmter Investitionen übergehen.

Dies ist (noch) keine Krise. Aber es ist ein kritischer Wendepunkt.

Wenn wir jetzt handeln, um unsere Modelle weiterzuentwickeln und Raum für Beteiligung, Partnerschaft und gemeinsame Verantwortung zu schaffen, können wir die Stärke, Stabilität und Zugänglichkeit dieser Systeme für alle erhalten.

Ohne Maßnahmen wird die Grundlage moderner Software wegbrechen. Mit Maßnahmen – gemeinsamen, abgestimmten und nachhaltigen Maßnahmen – können wir sicherstellen, dass diese Systeme stark, sicher und für alle offen bleiben.

Wie Sie helfen können

Auch wenn jedes Ökosystem unterschiedliche Ansätze verfolgen mag, gibt es klare Möglichkeiten, wie Organisationen und Einzelpersonen jetzt aktiv werden können:

  • Zeigen Sie Präsenz und lernen Sie dazu: Nehmen Sie Kontakt zu den Stiftungen und Organisationen auf, die die Infrastruktur unterhalten, auf die Sie angewiesen sind. Machen Sie sich mit deren betrieblichen Realitäten, Finanzierungsmodellen und Bedürfnissen vertraut.
  • Passen Sie die Nutzung an Ihre Verantwortung an: Wenn Ihre Organisation ein Großverbraucher ist, überprüfen Sie Ihre Praktiken. Implementieren Sie Caching, reduzieren Sie redundanten Datenverkehr und sprechen Sie mit den Verantwortlichen darüber, wie Sie einen angemessenen Beitrag leisten können.
  • Mit Sorgfalt entwickeln: Wenn Sie Build-Tools, Frameworks oder Sicherheitsprodukte erstellen, überlegen Sie, wie sich Ihre Standardeinstellungen und Verhaltensweisen auf die öffentliche Infrastruktur auswirken. Reduzieren Sie unnötige Anfragen, vereinfachen Sie die Proxy-Nutzung und dokumentieren Sie Best Practices, damit Ihre Nutzer ihren Fußabdruck minimieren können.
  • Werden Sie Finanzpartner: Unterstützen Sie Stiftungen und Projekte direkt durch Mitgliedschaft, Sponsoring oder indem Sie Maintainer einstellen. Vorhersehbare Finanzierungen ermöglichen proaktive Investitionen in Sicherheit und Skalierbarkeit.

Bewusstsein ist wichtig, aber Bewusstsein allein genügt nicht. Diese Systeme bleiben nur dann nachhaltig, wenn diejenigen, die am meisten davon profitieren, sich auch an ihrer Unterstützung beteiligen.

Was kommt als Nächstes?

Dieser offene Brief ist ein Startpunkt, nicht das Ziel. Als Verwalter dieser gemeinsamen Infrastruktur werden wir weiterhin mit Stiftungen, Regierungen und Industriepartnern zusammenarbeiten, um die Grundsätze in die Praxis umzusetzen. Jedes Ökosystem wird die Modelle verfolgen, die in seinem eigenen Kontext sinnvoll sind, aber alle verfolgen dasselbe Ziel: die Verantwortung an die Nutzung anzupassen, um Resilienz zu gewährleisten.

Zukünftige Veränderungen können verschiedene Formen annehmen, von neuen Finanzierungspartnerschaften über angepasste Nutzungsrichtlinien bis hin zu einer erweiterten Zusammenarbeit mit Regierungen und Unternehmen. Das Wichtigste ist, dass der Status quo nicht fortbestehen kann.

Wir laden Sie ein, sich an dieser Arbeit zu beteiligen: Lernen Sie von den Communities, die Ihre Abhängigkeiten aufrechterhalten, bringen Sie Ideen ein und seien Sie bereit für eine Welt, in der Nachhaltigkeit nicht optional, sondern selbstverständlich ist.

Unterzeichnet von

  • OpenJS Foundation
  • Alpha-Omega-Projekt (OpenSSF)
  • Eclipse Foundation (Open VSX)
  • Sonatype (Maven Central)
  • Packagist (Composer)
  • Python Software Foundation (PyPI)
  • Ruby Central (RubyGems)
  • Rust Foundation (crates.io)

Die Unterschriften der Organisationen zeigen an, dass die aufgeführten Unternehmen das Projekt unterstützen. Im Laufe der Zeit können weitere Organisationen hinzukommen. Wir danken den Mitwirkenden aus den oben genannten Organisationen und der breiteren Community für ihre Überprüfung und ihre Beiträge.

(sp/Eclipse Foundation)


Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.