新智元报道
编辑:袁榭 好困
【新智元导读】现在,开源软件界或即将到达必须变革的临界点:被大厂白嫖的既有模式不可持续,开源码农必须得到相应尊重和报偿。
如果有一天,你的开源项目被像谷歌或Meta这种大厂相中,是不是有种能横着走的感觉?
但入选一时爽、维护火葬场,开源项目最终掏空开发者,是如今的常态而非变态了。
开源软件业界,如今也面临着开发者们普遍热情难再续的困境。
免费用的人,反比开发者还拽
Gulp.js的开发者Blaine Bublitz就是活生生的例子,他的项目正在被微软和NASA等组织使用。
然而,Bublitz每天都需要花费数个小时来处理用户发来的电子邮件。
这些电子邮件通常会要求修复程序bug、更新程序平台,让他的待办事项清单永无尽头。
其中虽然有些用户态度很友好,但也有很多人颐使气指,问他怎么这么长时间还没动静。这也一度让他「消失」了六个月。
Bublitz表示,缺钱、与自居有权利的用户的大爷范,让他并不想全力以赴。
无独有偶,Marina Mosti也在每周花费10小时维护一个名为FormVueLate的开源项目,而她没有从中赚到一毛钱。
她的正职是VoiceThread的技术主管,赚的薪水为她在开源领域的工作提供资金支持。
但她维护开源项目的任务与正职工作之间的压力让Mosti筋疲力尽。
FormVueLate的其他开发人员面临着同样的油尽灯枯处境。虽然FormVueLate的一些代码重写需求已经拖了几个月,但开发人员始终抽不出空来开始写码。
「我们没有时间、精力或脑力空闲投入其中,」莫斯蒂说。
Bublitz和Mosti并不是孤例。在其他几个关键项目中工作的开源开发人员也表达了类似感受。
他们说,致力于开源软件的工作量「无法承受」、「正在影响我的健康和幸福」、「成为我生活中的完全消耗」。
极度依赖开源,但就是不给钱
开源软件的定义是由社区成员免费构建并维护、代码可被免费公开访问的软件。开源软件的历史与软件业本身历史一样长。
不过从1990年代开始,随着Linux操作系统等项目席卷整个行业,开源软件变得流行。
现在,开源软件为Amazon Web Services等云平台提供了基础,并为人们每天使用的Meta和Google等公司的重要应用程序提供支持。
而且开源界的增长势头不减。微软拥有的开源软件项目托管站GitHub,过去一年中的项目发布量超过26亿。
OpenLogic调查2660名专业人士发现,77%的受访者表示他们的组织在2021年增加了对开源软件的使用。
软件公司Red Hat的首席技术官Chris Wright说:「更大的背景信息是,开源软件对商业世界和所有人的日常生活有多大多关键的影响。它在所有软件行业中都非常普遍。」
这些至关重要的开源项目支撑着世界上许多软件产品、与有钱的大型科技巨头。
微软、亚马逊和Netflix等公司都依靠开源项目来运行他们的线上应用程序。
然而,当下的软件安全事件,暴露了开源软件生态系统在开发者精疲力尽离开、甚至自行破坏项目时有多脆弱。这些开发人员缺乏支撑,会让互联网的风险增加。
虽然针对大公司和关键设施的网络攻击急剧增加、基础设施的数字安全一次又一次成为头条新闻,很少被提及的是对开源软件的攻击也与日俱增。
根据软件供应链管理公司Sonatype的一份报告,从2020年到2021年,针对开源供应商的网络攻击增加了650%。报告称,至少29%的热门项目包含至少一个已知的安全漏洞。
如果有更多人参与维护和更新代码,开源软件可以在理论上更安全。
但最近的安全事件表明,如果开发者忽视漏洞修复、甚至主动破坏自己的项目,对互联网生态系统的破坏性影响可能是巨大的。
2021年12月,黑客利用开源项目Log4j,影响了IBM、甲骨文、亚马逊和微软等大公司。
网络安全公司Check Point称潜在的损害「无法估量」,并表示这「显然是近年来互联网上最严重的漏洞之一」。
然而仅仅两周后,著名的删库跑路事件发生了:程序员马利克破坏了他自己的项目——被广泛使用的Colors.js和Faker.js,以抗议大公司免费使用他的作品。
最近,研究人员发现了两个「关键」安全漏洞在Mozilla的开源Firefox浏览器中被广泛利用。此外,开源Linux操作系统刚刚遭遇「多年来最严重的漏洞」。
软件Promitor和KEDA的维护者Tom Kerkhove称:「我们已经看到了足够多的灾难性供应链攻击事件,而且这个趋势不会结束。大企业若要继续下去,就真的要帮助开源软件界,在大部分人油尽灯枯跑路前及时维护产品了。」
尽管他们的项目无处不在且至关重要,但大多数开源开发人员几乎没有从他们的贡献中赚到钱。
Tidelift对近400名开源软件项目维护者的调查显示,46%的人,在开源上的努力付出没获得任何报酬。
在那些获得报酬的人中,只有大约一半的人每年获得超过1000美元。
此外,大约一半的受访者表示:工作报酬不足,是他们作为项目维护者的最大不满处。
开源的自由性质也导致了不平等。开源软件项目是由实实在在的人开发的,没有那么多闲暇时间或生活稳定性的人,在无报酬的情况下不太可能为开源项目做出贡献。
如今,GitHub Sponsors、Tidelift和Open Collective等网站正试图通过允许开发人员获得捐款和其他类型的补偿来解决这一资金问题。
尽管如此,开发人员表示,依靠这些网站的捐赠是不能维生的,许多人每月从中拿到的钱只能买一杯咖啡。
Bublitz说,「我已经尝试了所有存在的平台」。虽然这些网站「的确成功地让你不再完全免费工作」,但他说自己每月从GitHub赞助商那里只能收到大约5美元。
尽管他几乎全职从事开源工作,但Bublitz的收入主要来自过去两年的咨询零工。
对于一些开发人员来说,尤其难以接受的事实是:开源软件的开发者日子窘迫,但这些项目的最大受益者是地球上最富有的公司们。许多人认为这些公司没有给予足够的回报。
例如,亚马逊重新打包开源软件以在其云上销售和运行。但开源软件的原开发者们和小公司表示,尽管从开源项目中获利,但亚马逊并没有贡献太多代码。
微软和谷歌声称自己对开源软件友好,但除了少数几个通过其「免费和开源软件基金会」进行的项目外,微软不为其他自己使用的开源软件掏钱。
与此同时,谷歌则声称对其员工在空闲时间编写的开源软件代码拥有所有权。
开源软件开发者Amal Hussein说,「问题在于,这些获益但不掏钱的公司和个人没有意识到他们实际上是生态系统的一部分,一荣俱荣一损俱损,要死大家一起都会死。」
「他们是在用自己的时间或金钱做贡献,这其实对维持生态系统很重要。」
精疲力竭,资金见底
随着新冠的不断蔓延、网络攻击率的增加、软件的复杂性不断增加、责任的重负、以及免费工作带来的财务不稳定,开发者面临着独有的倦怠。
在Tidelift的调查中,超过40%的开源维护者将个人压力和感到不受重视,作为他们不喜欢维护开源项目的原因。
Vue的核心成员Natalia Tepluhina表示,用户经常会问这样的问题:「为什么你在两周内没有修复这个」或者「为什么你这么慢」。
Tepluhina表示,我都免费为你工作了,为什么还如此挑刺。
Remirror的开发者Ifiok Otung Jr.表示,虽然项目有赞助,但这只会带来更多审查:「我在这条路上走得越远,就变得越不快乐。它已经成了我生活中的一种负担。」
在Tidelift的调查中,大约59%的人曾一度退出或考虑退出他们的项目。
Ryan Bigg就曾是电子商务项目Spree的唯一开发者,而且还是全职的那种。当时,项目被GoDaddy和Blue Apron等公司所使用。
然而,Bigg每天醒来都会收到250多条要求提出新要求或修复的信息。最终,他在2014年离开了那个项目,转到了一家科技公司。
Bigg表示,那个项目当时已经影响了我的健康和幸福。
Material for MkDocs的创建者Martin Donath表示,项目被放弃的原因是缺乏时间和兴趣,而时间就是金钱。
即使开源开发者获得了足够的报酬,可以全身心地投入到软件建设中,他们也常常面临资金耗尽的风险。
Babel是Meta、Airbnb和Netflix使用的一个开源项目,其中有三位核心开发人员。即便如此,项目的资金也在2021年的时候几乎被消耗一空。
当时,Nicolò Ribaudo曾考虑过终止关于Babel的开发和维护,转而去申请一家公司的全职工作。
Nicolò Ribaudo
幸运的是,在核心成员发表完一篇求助博文之后,捐款蜂拥而至。
Ribaudo表示,虽然团队没有得到「顶级」的工资,但这些钱足够他在意大利谋生。
其他影响力较大的项目,如谷歌的Kubernetes,Meta的React,以及Linux操作系统,都有着相应的赞助。相比之下,更多的规模较小的项目却没有赚到一分钱。
ESLint的创建者Nicholas Zakas说:「他们在食物链的下游,很多时候没有得到认可,也没有得到赞助。」
Zakas的项目被Meta、微软和Netflix所使用,虽然他得到了资助,但这些钱「远远不够」支撑一个全职团队。
一座纸牌屋
虽然开发者大多不是为了钱而进入开源领域,但免费工作所带来的风险反过来又使互联网处于危险之中。
维护项目的开发者不仅需要面对着堆积如山的要求和极低的报酬,与此同时,从开源软件中获利的大公司却很少给予回报。
当开发者们无法快速解决安全事件,甚至直接退出项目时,这些开源软件就会变得更加脆弱。
有开发人员表示,公司应该拨出一部分预算来支持他们依赖的开源项目。当然,如果能同时贡献代码并修复漏洞就更好了。
或许,维系着整个开源代码的机制即将达到一个不容乐观的临界点。
参考资料:
https://www.businessinsider.com/open-source-developers-burnout-low-pay-internet-2022-3