Infraestrutura aberta não é grátis: uma declaração conjunta sobre administração sustentável
(openssf.org)Resumo de "Infraestrutura aberta não é grátis: uma declaração conjunta sobre administração sustentável"
Recentemente, a OpenSSF (Open Source Security Foundation), junto com várias fundações importantes de código aberto e organizações que administram repositórios de pacotes, publicou uma declaração conjunta intitulada "Open Infrastructure is Not Free". Os principais pontos da declaração são os seguintes.
Apresentação do problema: uso massivo e apoio insuficiente
- O problema dos custos da infraestrutura de código aberto: repositórios de pacotes de código aberto como PyPI (Python), crates.io (Rust) e Maven Central (Java) são usados gratuitamente por inúmeros desenvolvedores e empresas, mas operá-los e mantê-los gera custos enormes.
- Uma estrutura insustentável: atualmente, essa infraestrutura depende do patrocínio de um pequeno número de empresas ou fundações sem fins lucrativos, além de doações e do esforço de voluntários. No entanto, com o crescimento explosivo do uso de sistemas automatizados de CI/CD, scanners de dependências em larga escala e agentes de IA, a carga que a infraestrutura precisa suportar aumenta exponencialmente.
- Desequilíbrio crescente: mesmo empresas que usam infraestrutura de código aberto em grande escala para fins comerciais quase não contribuem para esses custos, agravando uma situação em que muitos se beneficiam às custas do sacrifício de poucos.
Argumento central: responsabilidade proporcional ao uso e apelo por um modelo sustentável
- Reconhecimento de responsabilidade compartilhada: a declaração pede que todos os participantes do ecossistema de código aberto, especialmente os grandes usuários comerciais, reconheçam a responsabilidade coletiva pela manutenção da infraestrutura.
- Busca por modelos sustentáveis de financiamento: o texto defende que é preciso sair do modelo atual, informal e inconsistente de apoio, e criar um modelo sustentável de financiamento que relacione uso e custo. Isso não significa cobrar pelo acesso, mas investir para manter o ecossistema aberto e estável.
- Investimento no futuro: também destaca que esse esforço deve aumentar a estabilidade da infraestrutura e, mais adiante, criar um ciclo virtuoso em que os mantenedores sejam remunerados e o ecossistema possa evoluir de forma mais saudável.
Organizações participantes
Além da OpenSSF, a declaração conjunta conta com a participação de várias organizações importantes, como Alpha-Omega, Eclipse Foundation (Open VSX), OpenJS Foundation, Packagist (Composer), Python Software Foundation (PyPI), Rust Foundation (crates.io) e Sonatype (Maven Central), chamando atenção para a gravidade do problema e defendendo a criação de soluções.
4 comentários
Eu também sempre fiquei curioso com isso. Onde é que rodam tantos servidores de gerenciadores de pacotes, e quem os mantém e opera, e como isso é feito...
Parece que o contexto sobre a diferença entre open source e free software (software livre) precisa ser mais bem compartilhado e discutido entre as pessoas que lidam com software.
As empresas sabem muito bem disso.
Elas até cumprem a conformidade de código aberto, mas como doações não são obrigatórias, só empresas do porte do Google acabam doando.
Você deve estar se perguntando como os mantenedores dos gerenciadores de pacotes do Linux conseguem pagar as contas.