สรุปแถลงการณ์ร่วม "โครงสร้างพื้นฐานแบบเปิดไม่ใช่ของฟรี"
เมื่อไม่นานมานี้ OpenSSF (มูลนิธิความปลอดภัยโอเพนซอร์ส) รวมถึงมูลนิธิโอเพนซอร์สหลักและหน่วยงานดูแลแพ็กเกจรีโพซิทอรีหลายแห่ง ได้เผยแพร่แถลงการณ์ร่วมในหัวข้อ "Open Infrastructure is Not Free" โดยมีสาระสำคัญดังนี้
การชี้ปัญหา: ปริมาณการใช้งานมหาศาลและการสนับสนุนที่ไม่เพียงพอ
- ปัญหาต้นทุนของโครงสร้างพื้นฐานโอเพนซอร์ส: รีโพซิทอรีแพ็กเกจโอเพนซอร์สอย่าง PyPI (Python), crates.io (Rust), Maven Central (Java) ถูกใช้งานฟรีโดยนักพัฒนาและบริษัทจำนวนมาก แต่การดำเนินงานและการบำรุงรักษานั้นมีต้นทุนสูงมาก
- โครงสร้างที่ไม่ยั่งยืน: ปัจจุบันโครงสร้างพื้นฐานเหล่านี้พึ่งพาการสนับสนุนจากบริษัทเพียงไม่กี่แห่งหรือมูลนิธิไม่แสวงกำไร การบริจาค และความพยายามของอาสาสมัครเป็นหลัก แต่เมื่อการใช้งานระบบ CI/CD แบบอัตโนมัติ เครื่องมือสแกน dependency ขนาดใหญ่ และ AI agent เพิ่มขึ้นอย่างรวดเร็ว ภาระที่โครงสร้างพื้นฐานต้องรองรับก็เพิ่มขึ้นแบบทวีคูณ
- ความไม่สมดุลที่รุนแรงขึ้น: โดยเฉพาะอย่างยิ่ง แม้แต่บริษัทที่ใช้โครงสร้างพื้นฐานโอเพนซอร์สในระดับใหญ่เพื่อผลประโยชน์ทางธุรกิจ ก็แทบไม่ได้มีส่วนร่วมแบกรับต้นทุนเหล่านี้เลย ทำให้เกิดความไม่สมดุลอย่างหนักในลักษณะ 'คนส่วนน้อยเสียสละเพื่อให้คนส่วนใหญ่ได้รับประโยชน์'
ข้อเรียกร้องหลัก: ความรับผิดชอบตามระดับการใช้งานและโมเดลที่ยั่งยืน
- การตระหนักถึงความรับผิดชอบร่วม: แถลงการณ์เรียกร้องให้ทุกฝ่ายในระบบนิเวศโอเพนซอร์ส โดยเฉพาะผู้ใช้เชิงพาณิชย์รายใหญ่ ตระหนักถึงความรับผิดชอบร่วมในการดูแลรักษาโครงสร้างพื้นฐาน
- การแสวงหาโมเดลการระดมทุนที่ยั่งยืน: จำเป็นต้องก้าวออกจากรูปแบบการสนับสนุนที่ไม่เป็นทางการและไม่สม่ำเสมอในปัจจุบัน ไปสู่โมเดลการระดมทุนที่ยั่งยืนซึ่งเชื่อมโยงการใช้งานเข้ากับต้นทุน นี่ไม่ได้หมายถึงการทำให้ทุกอย่างต้องเสียเงิน แต่หมายถึงการลงทุนเพื่อให้ระบบนิเวศยังคงเปิดกว้างและมีเสถียรภาพต่อไป
- การลงทุนเพื่ออนาคต: แถลงการณ์เน้นว่าความพยายามเหล่านี้จะช่วยเพิ่มเสถียรภาพของโครงสร้างพื้นฐาน และไปไกลกว่านั้นคือสร้างวงจรเชิงบวกที่ผู้ดูแลโครงการได้รับค่าตอบแทน ทำให้ระบบนิเวศเติบโตอย่างแข็งแรงยิ่งขึ้น
หน่วยงานที่เข้าร่วม
แถลงการณ์ร่วมฉบับนี้มีองค์กรสำคัญหลายแห่งเข้าร่วม ได้แก่ OpenSSF รวมถึง Alpha-Omega, Eclipse Foundation (Open VSX), OpenJS Foundation, Packagist (Composer), Python Software Foundation (PyPI), Rust Foundation (crates.io), Sonatype (Maven Central) เพื่อชี้ให้เห็นถึงความร้ายแรงของปัญหาและเรียกร้องให้มีการจัดทำแนวทางแก้ไข
4 ความคิดเห็น
ผมก็สงสัยเรื่องนี้มาตลอดเหมือนกัน เซิร์ฟเวอร์ของ package manager จำนวนมากมายขนาดนี้รันอยู่ที่ไหน แล้วใครเป็นคนดูแลและดำเนินงานมันอย่างไร....
ดูเหมือนว่ายังมีความจำเป็นที่จะต้องมีการเผยแพร่และถกเถียงกันให้มากขึ้นในหมู่คนที่ทำงานกับซอฟต์แวร์ เกี่ยวกับบริบทของความแตกต่างระหว่าง Open source กับ free software (ซอฟต์แวร์เสรี)
บริษัทต่าง ๆ รู้เรื่องนี้ดีอยู่แล้ว
พวกเขาปฏิบัติตามข้อกำหนดด้านคอมพลายแอนซ์ของโอเพนซอร์ส แต่การบริจาคไม่ใช่ข้อบังคับ ดังนั้นจึงมีแต่บริษัทระดับ Google เท่านั้นที่บริจาค
ก็สงสัยกันใช่ไหมว่าผู้ดูแลแพ็กเกจแมเนเจอร์ของ Linux เขาเลี้ยงชีพกันอย่างไร