Open source был халявой 30 лет, мейнтейнеры голодали — бизнес дал $12,5 млн на всех. Ну наконец-то, спасибо за щедрость

Открытое ПО годами живёт по странной схеме: крупнейшие корпорации строят на нём продукты, зарабатывают миллиарды, а разработчики и сопровождающие проекты часто остаются почти без денег. На таком фоне новые гранты от Anthropic, AWS, GitHub, Google, Microsoft, OpenAI и других игроков выглядят не решением проблемы, а скорее символическим жестом. Суммарно речь идёт о 12,5 млн долларов для Linux Foundation, OpenSSF и Alpha-Omega, хотя совокупная рыночная стоимость таких компаний оценивается примерно в 7,7 трлн долларов. Для человека с доходом 100 тысяч долларов в год такой вклад был бы сопоставим примерно с 16 центами.

Ситуация особенно заметна на фоне того, как живут сами мейнтейнеры. По данным отчёта Tidelift за 2024 год, 60% сопровождающих open source-проекты вообще не получают оплату за свою работу. Столько же признались, что уже ушли или подумывали уйти из-за выгорания и отсутствия нормальной компенсации. Даже среди тех, кому всё же платят, лишь 26% зарабатывают на такой работе больше 1000 долларов в год. Для экосистемы, на которой держится современная разработка, цифры выглядят почти издевательски.

Проблема давно вышла за пределы отдельных библиотек и отдельных авторов. Почти любое современное программное обеспечение опирается на публичные реестры пакетов вроде Maven Central, PyPI, npm или crates.io. Через них проходят уже не миллионы и не миллиарды, а триллионы загрузок в год. И именно эта инфраструктура, без которой не работают сборки, тесты и проверки зависимостей, часто существует на крайне скромные деньги.

Технический директор Sonatype Брайан Фокс недавно напомнил, что Maven Central, один из главных реестров для Java, уже отдал пользователям сотни миллиардов загрузок, хотя сам работает буквально на минимальном бюджете по меркам такой нагрузки. Денег, людей и инфраструктуры там значительно меньше, чем можно было бы ожидать от сервиса подобного масштаба.

Самое показательное в другом: основную нагрузку создают вовсе не энтузиасты и не одиночные разработчики. По оценке Фокса, 82% спроса на Maven Central приходится меньше чем на 1% IP-адресов. Около 80% трафика и вовсе идёт из инфраструктуры крупнейших облачных провайдеров. Иными словами, огромные коммерческие платформы регулярно обращаются к публичным реестрам во время каждой сборки, теста или сканирования, хотя при желании могли бы развернуть собственные зеркала и снизить давление на общедоступную инфраструктуру.

Каждое такое обращение стоит денег. Трафик, хранение артефактов, поддержка доступности и отказоустойчивости, операционная работа - всё это не покрывается красивыми разговорами о пользе open source. На таком фоне всё громче звучит мысль, что бизнесу придётся платить хотя бы за доступ к коду на уровне массового потребления. Сам код при этом останется свободным, но постоянная загрузка огромных объёмов пакетов и артефактов уже перестаёт выглядеть как бесплатная привилегия.

К финансовому давлению добавилась ещё одна проблема, о которой несколько лет назад почти не говорили. Мейнтейнеров завалили низкокачественными сообщениями об уязвимостях, сгенерированными ИИ. Часть таких отчётов действительно помогает находить ошибки, но значительная доля оказывается мусором, на проверку которого уходит время и силы. По данным OpenSSF, настоящими уязвимостями оказываются лишь около 5% заявок в программах bug bounty. Всё остальное приходится вручную отсеивать, тратя ресурсы на очевидный шум.

Создатель и сопровождающий cURL Даниэль Стенберг описывал ситуацию как смерть от тысячи мусорных атак. Поток слабых AI-репортов оказался настолько разрушительным, что ему в итоге пришлось закрыть bug bounty-программу для cURL. Причина звучит жёстко, но понятно: такая нагрузка уже била по выживанию сопровождающих и по их психическому состоянию.

При этом бизнес по-прежнему часто ведёт себя так, будто сообщество обязано бесконечно переваривать всю эту работу само по себе. В отчёте Synopsys Open Source Security and Risk Analysis за 2025 год говорится, что более 97% коммерческих программных проектов используют зависимости с открытым кодом. Одновременно аудит показал, что 91% проверенных open source-компонентов не демонстрировали явных признаков активной поддержки в последние 2 года. Речь идёт не только о заброшенных мелких проектах. Даже широко используемые инструменты вроде Ingress NGINX начинают деградировать, когда никто не готов сопровождать их бесплатно.

На этом фоне появляются и более практичные примеры. HeroDevs запустила фонд Open Source Sustainability Fund объёмом 20 млн долларов. Его задача - платить сопровождающим критически важных, часто уже устаревающих компонентов, чтобы те могли продолжать выпускать исправления и не выгорали. Ещё один пример даёт Sentry со своим Open Source Pledge/Fund. Компания перечисляет сотни тысяч долларов в год напрямую тем разработчикам, чьи пакеты лежат в основе её собственного стека. Важен не только сам объём выплат, но и подход: Sentry не ограничивается разговорами о поддержке сообщества, а сначала разбирает дерево зависимостей, а затем платит конкретным людям.

Именно такой принцип всё чаще называют единственно рабочим. Индустрии уже хватает организаций, которые управляют проектами, лицензиями и инфраструктурой open source: есть Linux Foundation, Apache Foundation, Open Source Initiative и множество профильных структур. Но до сих пор почти нет механизма, который системно доводил бы деньги от крупного бизнеса до конкретных разработчиков и мейнтейнеров, без которых вся эта экосистема просто не работает.

Поэтому главный спор вокруг открытого ПО сейчас идёт уже не о щедрости корпораций и не о красивых жестах. Вопрос стоит жёстче: должна ли поддержка open source оставаться добровольной благотворительностью или её пора считать обычной статьёй расходов для любой компании, которая строит бизнес на чужом коде. Чем дольше рынок откладывает ответ, тем выше шанс, что бесплатной останется только вывеска, а за реальный доступ к инфраструктуре и поддержке коммерческим пользователям придётся платить уже по новым правилам.