Offene Infrastruktur ist nicht kostenlos: Gemeinsame Erklärung zu nachhaltiger Verantwortung

Zusammenfassung der gemeinsamen Erklärung „Open Infrastructure is Not Free: A Joint Statement on Sustainable Stewardship“

Kürzlich haben mehrere wichtige Open-Source-Stiftungen und Organisationen, die Paket-Repositories verwalten, darunter die OpenSSF (Open Source Security Foundation), eine gemeinsame Erklärung mit dem Titel „Open Infrastructure is Not Free“ veröffentlicht. Die Kernaussagen dieser Erklärung sind die folgenden.

Problemaufriss: enorme Nutzung und unzureichende Unterstützung

• Kostenproblem bei Open-Source-Infrastruktur: Open-Source-Paket-Repositories wie PyPI (Python), crates.io (Rust) und Maven Central (Java) werden von zahllosen Entwicklern und Unternehmen kostenlos genutzt, doch ihr Betrieb und ihre Wartung verursachen erhebliche Kosten.
• Nicht nachhaltige Struktur: Derzeit ist diese Infrastruktur auf Sponsoring durch einige wenige Unternehmen oder gemeinnützige Stiftungen, auf Spenden und auf den Einsatz von Freiwilligen angewiesen. Gleichzeitig wächst durch den explosionsartigen Einsatz automatisierter CI/CD-Systeme, groß angelegter Dependency-Scanner und AI-Agenten die Last, die diese Infrastruktur tragen muss, exponentiell.
• Zunehmendes Ungleichgewicht: Besonders problematisch ist, dass selbst Unternehmen, die Open-Source-Infrastruktur in großem Umfang für kommerzielle Zwecke nutzen, kaum zu dieser Kostenlast beitragen. Dadurch verschärft sich ein Ungleichgewicht, bei dem viele von den Opfern weniger profitieren.

Kernforderung: Verantwortung entsprechend der Nutzung und ein nachhaltiges Modell

• Anerkennung gemeinsamer Verantwortung: Die Erklärung fordert alle Akteure des Open-Source-Ökosystems, insbesondere große kommerzielle Nutzer, dazu auf, ihre gemeinsame Verantwortung für den Erhalt der Infrastruktur anzuerkennen.
• Suche nach nachhaltigen Finanzierungsmodellen: Statt der bisherigen informellen und inkonsistenten Unterstützungsformen brauche es nachhaltige Finanzierungsmodelle, die Nutzung und Kosten miteinander verknüpfen. Das bedeute nicht, die Infrastruktur kostenpflichtig zu machen, sondern in ihren dauerhaft offenen und stabilen Betrieb zu investieren.
• Investition in die Zukunft: Dadurch solle die Stabilität der Infrastruktur verbessert werden. Zugleich müsse ein positiver Kreislauf entstehen, in dem Maintainer vergütet werden und sich das Ökosystem gesünder weiterentwickeln kann.

Beteiligte Organisationen

An dieser gemeinsamen Erklärung beteiligen sich neben der OpenSSF unter anderem Alpha-Omega, die Eclipse Foundation (Open VSX), die OpenJS Foundation, Packagist (Composer), die Python Software Foundation (PyPI), die Rust Foundation (crates.io) und Sonatype (Maven Central), um auf die Schwere des Problems aufmerksam zu machen und zur Erarbeitung von Lösungen aufzurufen.