开源仓库考虑对高频下载用户收费
在Linux基金会会员峰会上,Sonatype公司首席技术官Brian Fox提出了一个新的开源问题。Fox同时负责监管Apache Maven这一流行的Java构建工具,他解释说Maven的仓库站点面临被持续Git拉取请求压垮的风险。
团队深入调查后发现,82%的需求来自不到1%的IP地址。进一步挖掘发现,许多公司正在将开源仓库当作内容分发网络使用。例如,一家公司可能在一天内下载相同代码数十万次,第二天、第三天都是如此。这种情况是不可持续的。
因此,Maven和其他开源仓库正在考虑引入分层付费系统。独立开发者和小团队仍然可以免费下载代码,但大量使用者将需要为每次下载付费。换句话说,开源软件在言论自由方面仍然免费,但在使用成本方面不再完全免费。
问题有多严重
Fox透露,去年主要仓库处理了10万亿次下载。这是谷歌年搜索查询量的两倍,而它们却是在极有限的预算下运行。Fox将此描述为"公地悲剧",即对"免费和无限"资源的假设导致结构性浪费,这种浪费被持续集成/持续部署管道、安全扫描器和生成式AI代码生成进一步放大。
公司可能认为它们可以依赖"免费和无限"的基础设施,但现实是带宽、存储、人员和合规成本正在加速增长。
Fox分享的数据显示,Maven Central 82%的使用量来自全球不到1%的IP地址,其中80%的流量来自三大云服务提供商。更麻烦的是,"IP地址不代表人员,甚至不再代表组织。它们是临时的,有点像天气",Fox在采访中解释道,指出了来自容器、NAT代理和云出口IP的挑战。在一个案例中,一家百货公司60名开发人员团队产生的流量超过了全球有线调制解调器用户,原因是React Native构建配置错误,绕过了他们的Nexus仓库管理器。
他详细描述了一些极端例子,比如大型组织每月下载相同的10000个组件各100万次。"这太荒谬了",Fox说。限流措施导致通过429错误出现"断电",但模式发生变异,迫使进行"打地鼠"游戏,特别是因为大多数使用是无头的且不被注意。
仓库还受到商业使用的负担,公司将闭源组件或大型SDK作为免费CDN发布。Fox注意到顶级发布者每天发布千兆字节级别的构件,这与典型的开源项目不同。
解决方案和未来展望
2025年9月,仓库通过OpenSSF发布公开信,呼吁"分层访问模式",为爱好者和开源保持免费,同时要求高容量用户做出贡献。"这是重要的部分,它必须成为强制性的,而不是可选的",Fox强调。开源慈善不是可持续的模式。
企业一直将开源仓库视为免费、无限的基础设施。这是荒谬的。现实是带宽、存储、人员和合规成本不断增长。特别是,正如信中所述,"商业规模的使用没有商业规模的支持是不可持续的"。开源基金会无法跟上对快速依赖解析、签名包、零停机时间和对供应链攻击快速响应的需求,更不用说即将到来的监管要求,如欧盟的网络弹性法案。
Fox预计仓库将在下个季度开始推出:"我们在去年10月就发布了公开信...不同的生态系统已经找出了他们认为可行的模式"。令人惊喜的是,反应一直是积极的。被限流的组织"感到惊讶和歉意",将问题误认为是恶意而不是"无知、不知情"。
正如谚语所说,永远不要将可以用愚蠢解释的事情归因于恶意。或者,正如Alpha-Omega项目联合创始人Michael Winser所说:"如果你不缓存,你就是个白痴"。
随着生成式AI驱动的仓库使用激增,Fox敦促检查账单、使用缓存代理并避免每次提交测试。他寻求支持:"我们需要你帮助站出来...这样当我们走向更广阔的世界时...你需要付费才能继续做你一直在做的事情"。
但还有更多!除了简单地被持续下载需求压垮外,Winser说,"人们混淆了开源软件和开源基础设施"。是的,开源软件是免费的,但托管所有开源应用程序和库的仓库成本随着使用量增加而不断增长。
这不仅仅是带宽和存储。Winser还指出,仓库"没有足够的钱花在我们都迫切需要的安全功能上,以阻止我们成为一群白痴,在恶意软件时安装垃圾软件"。
引用Robert A. Heinlein的话:"天下没有免费的午餐"。我们滥用开源公地的账单已经到期。
Q&A
Q1:为什么开源仓库要考虑收费?
A:主要原因是资源滥用严重。数据显示82%的下载需求来自不到1%的IP地址,许多公司将开源仓库当作CDN使用,一天内下载相同代码数十万次。去年主要仓库处理了10万亿次下载,这种"免费和无限"的假设导致了结构性浪费,给仓库带来了不可持续的带宽、存储和运营成本压力。
Q2:分层付费系统具体如何运作?
A:分层付费系统将保持对独立开发者和小团队的免费访问,但对高频使用者收费。系统针对那些大量使用开源仓库作为免费CDN的公司,要求它们为每次下载付费。这样既保持了开源软件的免费本质,又确保了基础设施的可持续运营,避免了"公地悲剧"。
Q3:这种收费模式什么时候开始实施?
A:根据Brian Fox的预计,各仓库将在下个季度开始推出收费模式。2025年9月,仓库已通过OpenSSF发布公开信呼吁分层访问模式。不同生态系统正在制定各自认为可行的收费模式。目前反应积极,被限流的组织表示理解并道歉,认识到这是无知导致而非恶意行为。