开源可持续性危机：关键基础设施如何依赖无偿劳动

从Log4j到XZ Utils，开源供应链建立在志愿者维护者的脆弱基础上

开源软件生态系统支撑着几乎所有现代技术基础设施，然而关键项目往往依赖少数无偿志愿者，造成行业才刚开始应对的系统性风险。

依赖规模

现代软件绝大多数基于开源构建：

• 90%以上的软件包含开源组件
• 96%的代码库包含至少一个开源组件
• 普通应用：依赖数百到数千个开源包
• 财富500强：几乎全部依赖关键开源基础设施
• 估计价值：开源软件嵌入价值超过8万亿美元

风险中的关键基础设施

高调事件揭示了脆弱性：

• Log4Shell（2021）：Log4j中的关键漏洞，数百万应用使用，志愿者维护
• XZ Utils后门（2024）：通过社交工程几乎危及全球SSH认证，针对单一维护者
• Node.js left-pad（2016）：移除一个简单11行包导致数千项目崩溃
• colors.js和faker.js（2022）：维护者因资金争议故意破坏包
• OpenSSL Heartbleed（2014）：互联网大部分使用的加密库中的关键漏洞

维护者倦怠问题

开源可持续性根本上是人的问题：

• 单一维护者项目：许多关键包由一个人在业余时间维护
• 无偿劳动：70%的维护者每周在开源上花10+小时，大多无偿
• 毒性：50%的维护者在开源中经历过毒性或骚扰
• 心理健康：维护者倦怠是地方病，许多人提及压力和焦虑
• 安全负担：安全维护是高风险无补偿的吃力不讨好工作

新兴资助模式

可持续开源资助的新方法：

• 开源承诺：公司承诺支付其依赖项目的维护者
• 赞助平台：GitHub Sponsors、Open Collective、TideLift连接维护者与资金
• 企业基金会：Linux基金会、云原生计算基金会资助关键项目
• 双重许可：带有企业功能商业许可的开源核心模式
• 政府资助：欧盟委员会等资助关键开源基础设施

企业悖论

公司从开源获利却贡献不足：

• 收入贡献比：从开源获利数十亿的公司回馈极少资源
• 提取模式：大公司使用开源作为免费研发而不支持维护者
• 竞争动态：公司不愿资助竞争对手也受益的共享资源
• 公地悲剧：理性的个人企业行为导致集体资金不足
• 意识增长：Log4j后认识到当前模式不可持续

安全影响

开源脆弱性是国家安全问题：

• CISA报告：政府机构将开源识别为关键基础设施
• 软件物料清单（SBOM）：要求组织盘点开源依赖的法规
• 供应链安全：行政命令14028强制软件供应链安全标准
• 漏洞管理：未维护开源项目中未修补漏洞的积压
• 国家级威胁：国家级行为者针对开源供应链

解决方案和改革

生态系统正在发展系统性解决方案：

• 维护资助：补偿关键项目维护者的行业范围框架
• 安全审计：定期审计关键开源基础设施的安全性
• 治理框架：高影响力项目的更好治理结构
• 继任规划：维护者退出时转移项目所有权的流程
• 企业问责：与使用量成比例的企业开源贡献标准

意义

开源可持续性危机是全球技术行业的定时炸弹。支撑几乎所有数字服务的相同基础设施主要由在不可持续条件下运作的无偿志愿者维护。虽然资助模式在演变，企业意识在增长，但从开源提取的价值和返回给维护者的资源之间的差距仍然巨大。依赖开源的组织有责任通过资助、代码贡献、安全审计或治理参与来做出贡献。替代方案是持续脆弱、更多后门尝试和潜在灾难性供应链妥协。开源不是免费的；它只是没有被付费。

来源：基于2026年开源可持续性和关键基础设施风险的分析