开源软件是我们经济和社会的基石,但其维护却长期资金不足。这种差距引出了一个关键问题:公共部门如何才能更好地支持开源软件的持续维护?
所有代码库中有 96% 包含开源软件 (OSS),其中开放组件占所有代码库的 77%。其经济影响巨大,对全球经济的需求侧价值估计高达 8.8 万亿美元。
仅在欧盟,欧盟委员会自身的研究表明,开源软件每年至少为欧盟GDP贡献650亿至950亿欧元。从库、编程语言到软件开发工具,重要的开源技术是经济、社会和公共行政各个领域不可或缺的一部分。
尽管开源软件维护发挥着基础性作用,但其重要性与其所获得的公众关注度之间存在着差距。现实情况是,尽管每个人都从这种共享的数字基础设施中受益,但很少有人感到有责任为其维护做出贡献。
这种忽视的后果是严重的。主权技术机构对500多名开源软件维护人员进行的一项调查发现,三分之一的维护人员没有获得任何报酬,尽管他们自然希望获得报酬。另有三分之一的维护人员虽然从维护活动中获得了一些收入,但却无法以此为生。
或许最令人担忧的是支持结构的脆弱性。调查发现,三分之一的受访者是其项目的唯一维护者,而近四分之三的受访项目仅由三人或更少的人维护。
这种对规模小、工作过度且被低估的团队的依赖,不仅危及开源社区的健康,也危及我们整个全球软件生态系统的安全。xz后门和Log4Shell漏洞等备受瞩目的安全事件,更凸显了这种危险。
为了应对这一可持续性挑战,GitHub 委托欧洲开放论坛 (Open Forum Europe)、弗劳恩霍夫信息与通信技术研究所 (Fraunhofer ISI) 和欧洲大学研究所开展了一项研究。该研究探讨了如何将德国主权科技局 (German Sovereign Tech Agency) 这一成功的政府项目推广到欧盟层面。该机构已在 2022 年至 2024 年期间向 60 个开源软件 (OSS) 项目投资超过 2300 万欧元,展现了一种可行的公共支持模式。
已发表的研究建议,设立欧盟主权科技基金 (EU-STF) 作为强有力的解决方案。为了真正发挥影响力,报告建议该基金应将其活动集中在五个关键领域:识别欧盟最关键的开源依赖项;在维护、安全和改进方面进行投资;以及加强更广泛的开源生态系统。
为了使该基金得以实施,该研究概述了两种可能的制度框架。第一种是“登月模式”,涉及创建一个新的、集中化的欧盟机构。第二种是更“务实”的模式,提议由一个欧盟成员国联盟提供初始资金,然后从欧盟预算中申请额外资源。
无论选择何种路径,报告强调,欧盟下一年度多年期预算中至少需要3.5亿欧元的投入,才能确保该基金取得成功。虽然这笔资金无法满足开源维护的全部需求,但它将为行业和各国政府的共同融资奠定坚实的基础,从而产生持久的影响。
该研究借鉴了德国主权科技机构以及美国开放技术基金和欧盟下一代互联网等其他政府举措的经验,确定了欧盟主权科技基金所需的七个设计标准。
首先是资金集中。为了有效解决资金缺口,行业、各国政府和欧盟必须能够共同出资。对于工作繁重的维护人员来说,在数十个标准各异的独立基金之间寻找资源,效率低下且负担沉重。欧盟安全开源基金 (EU-STF) 应该效仿 GitHub 的安全开源基金等举措,将来自多个行业合作伙伴的资源集中到一个项目中。
第二,减少官僚主义。遗憾的是,许多欧盟资助项目都以申请流程复杂而闻名。对于一个没有报酬的独立维护者来说,花费数天时间处理一个结果不确定的申请根本不可行。因此,欧盟标准技术援助基金 (EU-STF) 应该采用轻量级的申请流程,并主动识别和联系关键的开源软件项目。对资助受助者的报告要求也应尽量减少,确保他们将时间用于改进项目,而不是处理繁琐的流程。
政治独立性是第三个标准。公共资金通常追逐最新的技术趋势,无论是区块链、量子计算还是人工智能。开源维护的基础工作常常被忽视,因为它并非一项引人注目的新发展。欧盟软件基础设施信托基金 (EU-STF) 必须拥有足够的政治独立性,以免受这些不断变化的优先事项的影响,并维护其保护公共软件基础设施的核心使命。
第四,该基金必须提供灵活的资金支持。开源世界并非铁板一块;维护者的工作岗位多种多样——作为他们在公司日常工作的一部分,利用业余时间,通过基金会,或作为松散的全球合作组织的一部分。欧盟技术与创新基金 (EU-STF) 需要灵活地为个人、非营利组织和公司的开源维护工作提供资金。欧盟居民身份不应成为获得资助的先决条件,就像德国主权科技局不将资助对象限制为德国人一样。为了使欧盟受益,软件只需“开源制造”,而不一定非要“欧盟制造”。
第五项原则是高度重视社区。完全由职业公务员管理的基金很可能难以在开源生态系统中建立必要的专业知识和信任。欧盟标准与技术信托基金 (EU-STF) 应与社区密切合作,共同确定资助重点并制定资助流程。
第六,战略协调至关重要。为了证明至少3.5亿欧元的预算合理,欧盟技术与创新基金(EU-STF)必须证明其对欧盟战略目标产生明显的积极影响。该研究详细说明了资助开源维护如何增强经济竞争力,如何通过允许用户按照自己的方式设计和使用技术来促进数字主权,以及如何增强网络安全。这包括帮助企业履行《网络弹性法案》规定的开源组件供应链安全义务。
最后,第七个标准是透明度。与任何使用纳税人资金的支出一样,欧盟标准与技术信托基金 (EU-STF) 的治理和资金决策必须以最高的透明度标准运作。这对于赢得开源社区和批准其预算的政策制定者的信任至关重要。
这项倡议的时机至关重要,因为欧盟目前正在就2028-2035年的新多年期预算进行谈判。欧盟对“欧盟可持续发展基金”(EU-STF)的支持日益增多,梅赛德斯-奔驰等主要行业参与者也积极倡导该基金的成立。
正如梅赛德斯-奔驰股份公司首席软件官 Magnus Östberg 和 Tech Innovation GmbH 软件定义汽车副总裁 Markus Rettstatt 所说,“如果没有可持续的资金和支持,完全可以预见,越来越多的开源软件项目将无法获得适合这种关键性软件的尽职调查和审查。”
新欧盟预算的首批立法提案现已提交欧洲议会和各国政府。现在正是个人、开源组织和企业向欧盟委员会、其民选代表和各国政府表达对创建欧盟主权科技基金支持的时刻。
