你是不是早已习惯了:
pip install,一行命令,依赖全都下载好了;npm install,几秒钟,拉上百 MB 包快到飞起;- CI 跑一遍 pipeline,所有依赖都能在线获取;
- 用 AI 工具跑个自动化构建,分分钟拉几十次仓库,不眨眼。
可当有人说:这些东西统统都不是免费的。
就在昨天,OpenSSF 联合多个开源基础设施,像 Maven Central、PyPI、crates.io、NuGet、Packagist、Open VSX 等的负责人发布了一份声明,标题很直白:
“Open Infrastructure is Not Free”
意思就是:开源基础设施不是免费的。
啥意思?要付费了吗?
先别紧张,目前还轮不到我们普通开发者来买单。
为什么现在开始提这个事?#
声明里提到,过去几年,开源基础设施的使用量暴增:
- AI 工具越来越多,自动化依赖拉取、频繁扫描、构建操作爆炸式增长;
- 很多工具默认配置完全不做缓存,疯狂地向公共服务发请求;
- 有些公司在产品里用这些公共资源,但从来没想过要反哺。
结果就是:需求越来越大,钱和人手却没有同步增加。
那怎么办?#
声明里给了一些方向:
- 大厂和高流量用户要掏钱,别再只薅羊毛;
- 可以分层:普通开发者继续免费,但企业级 / 高频访问要收费;
- 提供增值服务(比如企业级 SLA、统计分析),用商业模式反哺开源;
- 工具和框架开发者要在设计上更友好,比如启用缓存、减少不必要的请求。
其实核心思想很简单:开源基础设施也得吃饭。
我们普通开发者能做点啥?#
- CI 流程里加缓存,别让每次构建都要做一次远程拉取;
- 在公司层面,支持或推动开源基金会的赞助;
- 如果你做工具,记得优化对公共资源的使用。
最后想说#
很难想象如果有一天,如果有一天 PyPI、NPM、Maven 宣布“开始收费”或者“某些地区无法访问”,那将会怎样?
现实是:若我们还想继续拥有这种无感、稳定、几乎免费的体验,就必须有人站出来,把这份责任公平地分担。
那会是谁?
原文链接:https://openssf.org/blog/2025/09/23/open-infrastructure-is-not-free-a-joint-statement-on-sustainable-stewardship/
转载本站文章请注明作者和出处,请勿用于任何商业用途。欢迎关注公众号「DevOps攻城狮」
