Open source был халявой 30 лет, мейнтейнеры голодали — бизнес дал $12,5 млн на всех. Ну наконец-то, спасибо за щедрость

Крупнейшие ИТ-компании снова пообещали поддержать экосистему открытого кода деньгами, но на фоне размеров самого рынка такие суммы выглядят почти символически. Открытое ПО, на котором держатся облака, корпоративные платформы и бесконечные цепочки зависимостей, годами обслуживают люди, которые часто работают почти бесплатно. Поэтому новые гранты от Anthropic, AWS, GitHub, Google, Microsoft, OpenAI и других участников рынка скорее поднимают старый вопрос заново, чем действительно снимают проблему. На Linux Foundation, OpenSSF и Alpha-Omega выделили 12,5 млн долларов, хотя совокупная рыночная стоимость компаний-участников оценивается примерно в 7,7 трлн долларов. В пересчёте на бытовой масштаб такой жест сопоставим примерно с 16 центами от человека с годовым доходом 100 тысяч долларов.

Особенно резко такой контраст выглядит на фоне положения самих сопровождающих проектов. По данным отчёта Tidelift за 2024 год, 60% людей, которые поддерживают open source-проекты, вообще не получают за такую работу денег. Столько же говорили, что уже бросили сопровождение или всерьёз думали уйти из-за выгорания и отсутствия внятной оплаты. Даже среди тех, кому всё-таки платят, только 26% зарабатывают на этом больше 1000 долларов в год. Для среды, на которой держится современная разработка, картина получается довольно жёсткой.

Проблема давно вышла за пределы отдельных библиотек и отдельных авторов. Почти любой современный программный продукт опирается на публичные реестры пакетов вроде Maven Central, PyPI, npm или crates.io. Через такие площадки проходят уже не миллионы и не миллиарды, а триллионы загрузок в год. Без них не работают сборки, тесты и проверка зависимостей, но сама инфраструктура, которая держит всё на плаву, часто живёт на очень скромные деньги.

Технический директор Sonatype Брайан Фокс недавно напомнил, что Maven Central, один из главных реестров для Java, уже раздал пользователям сотни миллиардов загрузок, хотя по меркам такой нагрузки существует почти на минимальном бюджете. Денег, людей и вычислительных ресурсов там заметно меньше, чем можно было бы ожидать от сервиса такого масштаба.

Ещё показательнее распределение нагрузки. По оценке Фокса, 82% спроса на Maven Central создаёт менее 1% IP-адресов. Около 80% всего трафика вообще идёт из инфраструктуры крупнейших облачных провайдеров. Проще говоря, основной поток обращений создают не независимые разработчики и не энтузиасты, а большие коммерческие платформы, которые снова и снова тянут пакеты из публичных реестров во время каждой сборки, теста и сканирования. При желании такие компании могли бы поднять собственные зеркала и заметно разгрузить общедоступную инфраструктуру, но пока система работает иначе.

У такой модели есть вполне конкретная цена. Передача данных, хранение артефактов, поддержка доступности, отказоустойчивость и ежедневная эксплуатация не оплачиваются разговорами о ценности open source. Поэтому всё чаще звучит мысль, что бизнесу придётся платить хотя бы за массовое потребление такой инфраструктуры. Сам код от этого не перестанет быть свободным, но бесконечное скачивание огромных объёмов пакетов и артефактов уже трудно считать чем-то, что должно доставаться корпорациям бесплатно.

К нехватке денег добавилась ещё одна проблема, о которой несколько лет назад почти не говорили. Мейнтейнеров завалили низкокачественными сообщениями об уязвимостях, которые генерирует ИИ. Среди таких отчётов попадаются полезные, но значительная часть оказывается пустым шумом, на разбор которого уходят часы и силы. По данным OpenSSF, настоящими уязвимостями заканчиваются лишь около 5% заявок в программах баг баути. Всё остальное приходится вручную просеивать и отбрасывать.

Создатель и сопровождающий cURL Даниэль Стенберг сравнивал происходящее со смертью от тысячи мусорных атак. Поток слабых отчётов, сгенерированных ИИ, оказался настолько изматывающим, что ему пришлось закрыть программу баг баунти для cURL. Причина здесь вполне приземлённая: такая нагрузка бьёт не только по времени и ресурсам, но и по психическому состоянию людей, которые держат критически важные проекты в рабочем состоянии.

При этом крупный бизнес до сих пор нередко ведёт себя так, будто сообщество обязано бесконечно переваривать всю эту работу самостоятельно. В отчёте Synopsys за 2025 год говорится, что более 97% коммерческих программных проектов используют зависимости с открытым кодом. При этом аудит показал, что 91% проверенных open source-компонентов за последние 2 года не демонстрировали явных признаков активной поддержки. Проблема касается не только маленьких заброшенных пакетов. Даже крупные и широко используемые инструменты вроде Ingress NGINX начинают постепенно деградировать, когда сопровождать их бесплатно больше никто не готов.

На таком фоне особенно заметны примеры, где компании пытаются платить не абстрактному сообществу, а конкретным людям. HeroDevs запустила фонд Open Source Sustainability Fund объёмом 20 млн долларов. Деньги оттуда должны идти сопровождающим критически важных и нередко уже стареющих компонентов, чтобы те могли продолжать выпускать исправления и не выгорали. Похожий подход использует Sentry в своей программе Open Source Pledge/Fund. Компания ежегодно переводит сотни тысяч долларов разработчикам, чьи пакеты лежат в основе её собственного стека. Здесь важна не только сумма, но и сам принцип: сначала компания разбирает дерево зависимостей, а потом платит тем, без кого её собственные продукты просто не работали бы.

Именно такой подход всё чаще называют единственным рабочим вариантом. В индустрии и без того хватает организаций, которые управляют проектами, лицензиями и открытой инфраструктурой: есть Linux Foundation, Apache Foundation, Open Source Initiative и множество других профильных структур. Но до сих пор почти нет механизма, который стабильно доводил бы деньги от крупных корпораций до конкретных разработчиков и мейнтейнеров, на чьём труде держится вся система.

Поэтому главный спор вокруг открытого кода сейчас идёт уже не о щедрости корпораций и не о красивых жестах. Вопрос звучит гораздо проще и жёстче: должна ли поддержка open source оставаться добровольной благотворительностью или её давно пора считать обычной статьёй расходов для любой компании, которая строит бизнес на чужом коде. Чем дольше рынок уходит от этого ответа, тем выше вероятность, что бесплатной останется только вывеска, а за реальный доступ к инфраструктуре и сопровождению коммерческим пользователям в итоге придётся платить по совсем другим правилам.