开源可持续性危机：关键基础设施如何由资金不足的维护者维护

从Log4j到XZ Utils，高调事件正在暴露建立在志愿者劳动之上的软件供应链的脆弱性

开源软件生态系统——几乎支撑所有现代技术——面临可持续性危机，因为关键基础设施由资金不足、通常无偿的维护者利用业余时间维护。

依赖规模

现代软件完全依赖开源：

• 90%以上的软件包含开源组件
• 平均应用：依赖500+开源包
• 企业依赖：财富500强公司依赖数百万开源组件
• 关键基础设施：电网、医疗系统和金融系统运行在开源上
• 市场价值：开源支撑全球软件收入8万亿美元以上

资金缺口

开源维护者严重补偿不足：

• 66%的维护者是无偿志愿者
• 平均小时数：维护者每周花15+小时进行无偿维护
• 倦怠率：50%以上的维护者报告倦怠或考虑退出
• 企业搭便车：收入超过10亿美元的公司贡献不到其软件预算的1%给开源
• 关键维护者比例：大多数关键包由1-2人维护

高调供应链事件

漏洞突显了脆弱性：

• Log4Shell（2021）：无处不在的Java日志库中的关键漏洞
• XZ Utils后门（2024）：对单独维护者的社会工程攻击
• Node.js生态系统：数千个恶意包通过冒充维护者发布
• left-pad事件：移除一个11行包破坏了数千个项目
• event-stream比特币盗窃：恶意代码注入流行的npm包

企业开源悖论

公司从开源获利但投资不足：

• 收入依赖：公司从基于开源的产品产生收入
• 贡献差距：工程贡献仍集中在少数大公司
• 资金支持：大多数公司不资助他们依赖的项目
• 许可证合规：甚至许可证合规也常常处理不当
• 人才获取：公司雇佣维护者离开项目而不补充

可持续性模式

新的开源资金方法正在出现：

• 开源基金会：Linux基金会、Apache、CNCF提供治理和资金
• 企业赞助：GitHub Sponsors、Open Collective实现直接维护者支持
• 双重许可：MySQL、MongoDB、Elastic模式结合开源和商业许可
• 开放核心：提供免费社区版和付费企业功能
• 风投支持的开源：HashiCorp、Databricks、Cockroach Labs等公司获得风投资本

安全必然性

政府监管正在解决开源安全：

• 欧盟网络弹性法案：包括开源在内的安全软件开发要求
• 美国开源软件安全倡议：联邦政府对开源安全的投资
• SBOM强制要求：政府采购的软件物料清单要求
• CISA指导：保护开源软件供应链的建议
• 企业责任：对开源依赖安全的法律责任增加

意义

开源可持续性危机是整个科技行业的系统性风险。运行世界基础设施、金融系统和通信网络的软件主要由无偿工作的志愿者维护。每个重大软件供应链事件都追溯到同一根本原因：由资金不足的个人维护的关键基础设施。解决方案需要集体行动：公司必须资助他们依赖的开源，政府必须投资开源安全，新的资金模式必须使维护在经济上可行。替代方案是供应链事件持续发生且后果越来越严重。开源是公共产品，像所有公共产品一样，它需要可持续资金才能生存。

来源：基于2026年开源可持续性和软件供应链安全的分析