新智元報道
編輯:袁榭 好困
【新智元導讀】現在,開源軟體界或即将到達必須變革的臨界點:被大廠白嫖的既有模式不可持續,開源碼農必須得到相應尊重和報償。
如果有一天,你的開源項目被像谷歌或Meta這種大廠相中,是不是有種能橫着走的感覺?
但入選一時爽、維護火葬場,開源項目最終掏空開發者,是如今的常态而非變态了。
開源軟體業界,如今也面臨着開發者們普遍熱情難再續的困境。
免費用的人,反比開發者還拽
Gulp.js的開發者Blaine Bublitz就是活生生的例子,他的項目正在被微軟和NASA等組織使用。
然而,Bublitz每天都需要花費數個小時來處理使用者發來的電子郵件。
這些電子郵件通常會要求修複程式bug、更新程式平台,讓他的待辦事項清單永無盡頭。
其中雖然有些使用者态度很友好,但也有很多人頤使氣指,問他怎麼這麼長時間還沒動靜。這也一度讓他「消失」了六個月。
Bublitz表示,缺錢、與自居有權利的使用者的大爺範,讓他并不想全力以赴。
無獨有偶,Marina Mosti也在每周花費10小時維護一個名為FormVueLate的開源項目,而她沒有從中賺到一毛錢。
她的正職是VoiceThread的技術主管,賺的薪水為她在開源領域的工作提供資金支援。
但她維護開源項目的任務與正職工作之間的壓力讓Mosti筋疲力盡。
FormVueLate的其他開發人員面臨着同樣的油盡燈枯處境。雖然FormVueLate的一些代碼重寫需求已經拖了幾個月,但開發人員始終抽不出空來開始寫碼。
「我們沒有時間、精力或腦力空閑投入其中,」莫斯蒂說。
Bublitz和Mosti并不是孤例。在其他幾個關鍵項目中工作的開源開發人員也表達了類似感受。
他們說,緻力于開源軟體的工作量「無法承受」、「正在影響我的健康和幸福」、「成為我生活中的完全消耗」。
極度依賴開源,但就是不給錢
開源軟體的定義是由社群成員免費建構并維護、代碼可被免費公開通路的軟體。開源軟體的曆史與軟體業本身曆史一樣長。
不過從1990年代開始,随着Linux作業系統等項目席卷整個行業,開源軟體變得流行。
現在,開源軟體為Amazon Web Services等雲平台提供了基礎,并為人們每天使用的Meta和Google等公司的重要應用程式提供支援。
而且開源界的增長勢頭不減。微軟擁有的開源軟體項目托管站GitHub,過去一年中的項目釋出量超過26億。
OpenLogic調查2660名專業人士發現,77%的受訪者表示他們的組織在2021年增加了對開源軟體的使用。
軟體公司Red Hat的首席技術官Chris Wright說:「更大的背景資訊是,開源軟體對商業世界和所有人的日常生活有多大多關鍵的影響。它在所有軟體行業中都非常普遍。」
這些至關重要的開源項目支撐着世界上許多軟體産品、與有錢的大型科技巨頭。
微軟、亞馬遜和Netflix等公司都依靠開源項目來運作他們的線上應用程式。
然而,當下的軟體安全事件,暴露了開源軟體生态系統在開發者精疲力盡離開、甚至自行破壞項目時有多脆弱。這些開發人員缺乏支撐,會讓網際網路的風險增加。
雖然針對大公司和關鍵設施的網絡攻擊急劇增加、基礎設施的數字安全一次又一次成為頭條新聞,很少被提及的是對開源軟體的攻擊也與日俱增。
根據軟體供應鍊管理公司Sonatype的一份報告,從2020年到2021年,針對開源供應商的網絡攻擊增加了650%。報告稱,至少29%的熱門項目包含至少一個已知的安全漏洞。
如果有更多人參與維護和更新代碼,開源軟體可以在理論上更安全。
但最近的安全事件表明,如果開發者忽視漏洞修複、甚至主動破壞自己的項目,對網際網路生态系統的破壞性影響可能是巨大的。
2021年12月,黑客利用開源項目Log4j,影響了IBM、甲骨文、亞馬遜和微軟等大公司。
網絡安全公司Check Point稱潛在的損害「無法估量」,并表示這「顯然是近年來網際網路上最嚴重的漏洞之一」。
然而僅僅兩周後,著名的删庫跑路事件發生了:程式員馬利克破壞了他自己的項目——被廣泛使用的Colors.js和Faker.js,以抗議大公司免費使用他的作品。
最近,研究人員發現了兩個「關鍵」安全漏洞在Mozilla的開源Firefox浏覽器中被廣泛利用。此外,開源Linux作業系統剛剛遭遇「多年來最嚴重的漏洞」。
軟體Promitor和KEDA的維護者Tom Kerkhove稱:「我們已經看到了足夠多的災難性供應鍊攻擊事件,而且這個趨勢不會結束。大企業若要繼續下去,就真的要幫助開源軟體界,在大部分人油盡燈枯跑路前及時維護産品了。」
盡管他們的項目無處不在且至關重要,但大多數開源開發人員幾乎沒有從他們的貢獻中賺到錢。
Tidelift對近400名開源軟體項目維護者的調查顯示,46%的人,在開源上的努力付出沒獲得任何報酬。
在那些獲得報酬的人中,隻有大約一半的人每年獲得超過1000美元。
此外,大約一半的受訪者表示:工作報酬不足,是他們作為項目維護者的最大不滿處。
開源的自由性質也導緻了不平等。開源軟體項目是由實實在在的人開發的,沒有那麼多閑暇時間或生活穩定性的人,在無報酬的情況下不太可能為開源項目做出貢獻。
如今,GitHub Sponsors、Tidelift和Open Collective等網站正試圖通過允許開發人員獲得捐款和其他類型的補償來解決這一資金問題。
盡管如此,開發人員表示,依靠這些網站的捐贈是不能維生的,許多人每月從中拿到的錢隻能買一杯咖啡。
Bublitz說,「我已經嘗試了所有存在的平台」。雖然這些網站「的确成功地讓你不再完全免費工作」,但他說自己每月從GitHub贊助商那裡隻能收到大約5美元。
盡管他幾乎全職從事開源工作,但Bublitz的收入主要來自過去兩年的咨詢零工。
對于一些開發人員來說,尤其難以接受的事實是:開源軟體的開發者日子窘迫,但這些項目的最大受益者是地球上最富有的公司們。許多人認為這些公司沒有給予足夠的回報。
例如,亞馬遜重新打包開源軟體以在其雲上銷售和運作。但開源軟體的原開發者們和小公司表示,盡管從開源項目中獲利,但亞馬遜并沒有貢獻太多代碼。
微軟和谷歌聲稱自己對開源軟體友好,但除了少數幾個通過其「免費和開源軟體基金會」進行的項目外,微軟不為其他自己使用的開源軟體掏錢。
與此同時,谷歌則聲稱對其員工在空閑時間編寫的開源軟體代碼擁有所有權。
開源軟體開發者Amal Hussein說,「問題在于,這些獲益但不掏錢的公司和個人沒有意識到他們實際上是生态系統的一部分,一榮俱榮一損俱損,要死大家一起都會死。」
「他們是在用自己的時間或金錢做貢獻,這其實對維持生态系統很重要。」
精疲力竭,資金見底
随着新冠的不斷蔓延、網絡攻擊率的增加、軟體的複雜性不斷增加、責任的重負、以及免費工作帶來的财務不穩定,開發者面臨着獨有的倦怠。
在Tidelift的調查中,超過40%的開源維護者将個人壓力和感到不受重視,作為他們不喜歡維護開源項目的原因。
Vue的核心成員Natalia Tepluhina表示,使用者經常會問這樣的問題:「為什麼你在兩周内沒有修複這個」或者「為什麼你這麼慢」。
Tepluhina表示,我都免費為你工作了,為什麼還如此挑刺。
Remirror的開發者Ifiok Otung Jr.表示,雖然項目有贊助,但這隻會帶來更多審查:「我在這條路上走得越遠,就變得越不快樂。它已經成了我生活中的一種負擔。」
在Tidelift的調查中,大約59%的人曾一度退出或考慮退出他們的項目。
Ryan Bigg就曾是電子商務項目Spree的唯一開發者,而且還是全職的那種。當時,項目被GoDaddy和Blue Apron等公司所使用。
然而,Bigg每天醒來都會收到250多條要求提出新要求或修複的資訊。最終,他在2014年離開了那個項目,轉到了一家科技公司。
Bigg表示,那個項目當時已經影響了我的健康和幸福。
Material for MkDocs的建立者Martin Donath表示,項目被放棄的原因是缺乏時間和興趣,而時間就是金錢。
即使開源開發者獲得了足夠的報酬,可以全身心地投入到軟體建設中,他們也常常面臨資金耗盡的風險。
Babel是Meta、Airbnb和Netflix使用的一個開源項目,其中有三位核心開發人員。即便如此,項目的資金也在2021年的時候幾乎被消耗一空。
當時,Nicolò Ribaudo曾考慮過終止關于Babel的開發和維護,轉而去申請一家公司的全職工作。
Nicolò Ribaudo
幸運的是,在核心成員發表完一篇求助博文之後,捐款蜂擁而至。
Ribaudo表示,雖然團隊沒有得到「頂級」的工資,但這些錢足夠他在意大利謀生。
其他影響力較大的項目,如谷歌的Kubernetes,Meta的React,以及Linux作業系統,都有着相應的贊助。相比之下,更多的規模較小的項目卻沒有賺到一分錢。
ESLint的建立者Nicholas Zakas說:「他們在食物鍊的下遊,很多時候沒有得到認可,也沒有得到贊助。」
Zakas的項目被Meta、微軟和Netflix所使用,雖然他得到了資助,但這些錢「遠遠不夠」支撐一個全職團隊。
一座紙牌屋
雖然開發者大多不是為了錢而進入開源領域,但免費工作所帶來的風險反過來又使網際網路處于危險之中。
維護項目的開發者不僅需要面對着堆積如山的要求和極低的報酬,與此同時,從開源軟體中獲利的大公司卻很少給予回報。
當開發者們無法快速解決安全事件,甚至直接退出項目時,這些開源軟體就會變得更加脆弱。
有開發人員表示,公司應該撥出一部分預算來支援他們依賴的開源項目。當然,如果能同時貢獻代碼并修複漏洞就更好了。
或許,維系着整個開源代碼的機制即将達到一個不容樂觀的臨界點。
參考資料:
https://www.businessinsider.com/open-source-developers-burnout-low-pay-internet-2022-3