En fælles udtalelse om bæredygtig forvaltning af open-source fra de folk, der forvalter den offentlige open-source infrastruktur
Artiklen har været bragt i Aktuel Elektronik nr. 1 – 2026 og kan læses herunder uden illustrationer
(læs originaludgaven her)
Underskrevet af: Alpha-Omega, Eclipse Foundation (Open VSX), OpenJS Foundation, OpenSSF, Packagist (Composer), Python Software Foundation (PyPI), Ruby Central (RubyGems), Rust Foundation (crates.io) og Sonatype (Maven Central)
Hen over de seneste to årtier har open-source revolutioneret den måde, hvorpå software bliver udviklet på: Enhver moderne applikation – uanset om den er skrevet i Java, JavaScript, Python, Rust, PHP eller andet – afhænger af offentlige domæner og registre som Maven Central, PyPI, crates.io og open-vsx for downloads, deling og validering. Registrene er blevet en grundlæggende del af den digitale infrastruktur – ikke kun til open-source, men for hele den globale software supply chain.
Ud over domæner og registre er open-source projekter også afhængige af flere essentielle systemer til at opbygge, teste, analysere, implementere og distribuere software. De omfatter også netværk til levering af content (CDN’er) med support fra en global rækkevidde og ydelse i stor skala, sammen med doneret (normalt cloud) computerkraft og lagerplads til at understøtte dem.
Og alligevel, på trods af al deres betydning, opererer de fleste af disse systemer under en farligt skrøbelig præmis: De vedligeholdes, drives og finansieres ofte på måder, der er afhængige af velvilje, snarere end mekanismer, der afstemmer ansvaret med brugen.
Selv om disse tjenester leverer milliarder (måske endda billioner) af downloads hver måned (og i høj grad drevet af kommerciel brug), finansieres mange af disse tjenester af en lille gruppe velgørere. Nogle gange understøttes de af kommercielle leverandører som Sonatype (Maven Central), GitHub (npm) eller Microsoft (NuGet). Andre gange understøttes tjenesterne af nonprofitorganisationer, der er afhængige af tilskud, donationer og sponsorater til at dække deres vedligeholdelse, drift og personale.
Uanset driftsmodellen forbliver mønstret det samme: Et lille antal organisationer tager sig af størstedelen af omkostningerne for infrastrukturen, mens det overvældende flertal af store som små brugere, herunder kommercielle foretagender, der gennem infrastrukturen opnår efterspørgsel og økonomisk vækst, bruger disse tjenester uden at bidrage til deres bæredygtighed.
Moderne forventninger – reel infrastruktur
For ikke så længe siden betød et open-source projekt, at man skulle oploade samlende filer (”tarballs”) fra en lokal pc til en website – lidt a la zip-filer. I dag er vedligeholdet og forventningerne i dét forhold nogle helt andre:
• Opløsningsafhængighed og distribution skal være hurtig, pålidelig og global.
• Offentliggørelse skal kunne verificeres, signeret og permanent.
• Continuous integration (CI) pipelines forventer deterministiske strukturer med zero downtime.
• Sikkerhedsværktøjer kræver en umiddelbar respons fra de offentlige registre.
• Regeringer og virksomheder kræver kontinuert monitering, sporbarhed og mulighed for auditering af systemerne.
• Nye regulatoriske krav som EU’s CRA (Cyber Resilience Act) bidrager i stigende grad til behov for compliance og dokumentation, hvad der øger overhead for alle i forvejen ressourcebegrænsede økosystemer.
• Infrastrukturen skal have en hurtig respons mod flere typer af angreb som spam og den øgede mængde af supply chain-angreb med ondsindet indhold og komponenter, der skal fjernes.
Disse forventninger medfører reelle omkostninger i form af udviklingstid, båndbredde, computerkraft, lagerplads, CDN-distribution, drifts- og nødhjælpssupport. Alligevel bidrager de fleste organisationer, der drager fordel af disse tjenester, ikke økonomisk på tværs af økosystemerne, hvilket efterlader en lille gruppe af ”forvaltere” til at bære byrden.
Automatiske CI-systemer, storskala scannere for indbyrdes afhængighed og container-konstruktioner af kortere varighed – som ofte drives af virksomheder – lægger et enormt pres på infrastrukturen. De kommercielle arbejdsbyrder kører ofte uden caching, throttling eller endda nogen form for bevidsthed om den belastning, de påfører infrastrukturen. Fremkomsten af generativ og agentisk AI driver en yderligere eksplosion af maskindrevne applikationer og ofte et enormt spild af automatisk brug, hvilket forværrer de eksisterende udfordringer yderligere.
Illusionen af ”gratis og uendelig” infrastruktur medfører masser af spild.
Distribution af egen software
I mange tilfælde bruges offentlige registre nu til at distribuere ikke kun open-source biblioteker, men også proprietære/egne softwareprodukter, ofte som binære filer eller softwareudviklingssæt (SDK’er) pakket som afhængighed af den aktuelle open-source løsning. Disse projekter kan selvfølgelig være open-source i licens, men er funktionelt en del af et betalt produkt eller en betalt platform.
For udgiveren er denne model effektiv. Den giver pålideligheden, ydeevnen og den globale rækkevidde af den offentlige infrastruktur uden krav om at skulle opbygge eller vedligeholde den. I realiteten er offentlige registre blevet gratis globale CDN’er for kommercielle leverandører.
Vi mener ikke, at det i sig selv er forkert. Faktisk er det til en vis grad forståeligt og vidner om styrken ved open-source udviklingsmodellen. Offentlige registre tilbyder hastighed, global tilgængelighed og en pålidelig distributionsinfrastruktur, der allerede bruges af deres målgruppe, hvilket gør det fornuftigt for kommercielle udgivere at anvende dem. Det er dog vigtigt at erkende, at dette ikke var den oprindelige intention med disse systemer. Open-source økosystemerne blev skabt for at understøtte distributionen af åben, community-drevet software, ikke som en generel backend til levering af proprietære produkter. Hvis disse registre nu tjener begge roller, og gør det i massiv skala, er det fint. Men det betyder også, at det er tid til at afstemme forventningerne – og incitamenterne – til hinanden.
Kommerciel brug uden support i kommerciel skala er ikke bæredygtig.
I retning af bæredygtighed
Open-source infrastruktur kan ikke forventes at fungere uendeligt på en ensidig generøsitet. Den virkelige udfordring er at opbygge bæredygtige finansieringsmodeller, der kan skalere til brugen af at være afhængige af uformelle og inkonsistent support. Der er store forskelle mellem bæredygtig drift, og funktionalitet uden grænser og uden meningsfyldt sammenhæng med brug og ansvarsfølelsen.
I dag er denne sondring ofte sløret. Open-source infrastruktur, uanset om den er støttet af virksomheder eller lokalsamfundsstøttede fonde, står over for stigende efterspørgsel, drevet af forbrug i stigende kommerciel skala, uden pålidelige mekanismer til at skalere finansieringen i overensstemmelse med behov og brug.
Dokumenterede eksempler viser, hvordan denne ubalance driver økosystemets omkostninger opad, og det illustrerer den virkelige verdens konsekvenser, hvis illusionen er, at al brug af infrastrukturen er gratis og ubegrænset.
Især for fondsbetalte tjenester er denne udfordring særlig akut. Mange er betroet at drive kritiske offentlige tjenester, men skal gøre det gennem donorfinansiering, tilskud og tidsbegrænsede sponsorater. Det gør langsigtet planlægning vanskelig og begrænser ofte aktørernes evne til at investere proaktivt i bemanding, supply chain-sikkerhed, tilgængelighed og skalerbarhed. I mellemtiden oplever mange af disse fondsstøttede databaser en eksponentiel vækst i efterspørgslen, mens væksten i sponsorstøtte i bedste fald højest er lineær. Det udgør en stor udfordring for den økonomiske stabilitet i de nonprofitorganisationer, der administrerer dem.
Samtidig er den langvarige udfordring med vedligeholdelsesfinansiering stadig uløst. Trods års eksperimenter og velmenende initiativer modtager de fleste vedligeholdelsesvirksomheder af kritiske projekter stadig kun ringe eller ingen vedvarende støtte, hvilket efterlader dem med en enorm byrde i forhold til deres personligt investerede tid. I mange tilfælde støttes disse samme underfinansierede projekter af de fonde, der allerede oppebærer byrden af infrastrukturomkostningerne. I andre tilfælde omdirigeres knappe midler til at dække selve infrastrukturens drifts- og bemandingsbehov.
Hvis vi ville være i stand til at skabe større balance og sammenhæng mellem brug og finansiering af open-source infrastrukturerne, ville det ikke blot styrke robustheden i de systemer, vi alle er afhængige af, men det ville også frigøre eksisterende investeringer og give fonde mere plads til direkte at støtte de vedligeholdere, der danner rygraden i open-source.
Økosystemer i milliarddollar-klassen kan ikke opretholdes med fondsstøtte baseret på goodwill og ubetalt arbejde i weekenderne.
Det skal ændres …
Det er tid til at anvende praktiske og bæredygtige tilgange, der bedre afstemmer forbrug med omkostninger. Selv om hvert økosystem vil anvende de tilgange, der giver mest mening i sin egen kontekst, er behovet for handling universelt. Nedenstående er de områder, hvor handling bør undersøges:
• Kommercielle og institutionelle partnerskaber, der hjælper med at finansiere infrastruktur i forhold til forbrug eller til gengæld for strategiske fordele.
• Skalerede (tier’ed) adgangsmodeller, der opretholder åbenhed for generel og individuel brug, samtidig med at de giver skalerede ydeevne- eller pålidelighedsmuligheder for forbrugere med stor volumen.
• Værdiskabende muligheder som kommercielle enheder kan finde værdifulde, for eksempel brugsstatistik.
Disse idéer er ikke radikale. De er praktiske foranstaltninger baseret på sund fornuft, og de bruges allerede i andre delte systemer som deling af internetbåndbredde og cloud-computing. Det er modeller, der sikrer, at en åben infrastruktur er tilgængelig, samtidig med at de fremmer ansvarligheden i storskalabrug af ydelserne.
Bæredygtighed handler ikke om at lukke adgang; det handler om at holde dørene åbne og investere i fremtiden.
Ikke nogen krise (endnu)
Vi er stolte af at drive den infrastruktur og de systemer, der driver open-source økosystemet og moderne softwareudvikling. Disse systemer tjener udviklere og designere på alle områder, på tværs af alle brancher og i alle regioner i verden. Men bæredygtigheden kan fortsat ikke udelukkende afhænge af en lille gruppe donorer eller tavse velgørere i kulissen. Vi er nødt til at skifte fra en kultur af usynlig afhængighed til en kultur af afbalancerede og afstemte investeringer.
Hvis vi handler nu for at udvikle vores modeller og skabe plads til aktiv deltagelse, partnerskab og fælles ansvar, kan vi opretholde den styrke, stabilitet og tilgængelighed, som alle brugere af disse systemer ønsker.
Uden handling vil fundamentet under moderne software kollapse. Men med handling – delt, afstemt og vedvarende – kan vi sikre, at disse systemer forbliver stærke, sikre og åbne for alle.
Sådan kan man hjælpe
Selv om hvert økosystem kan anvende forskellige tilgange til løsningerne, er der allerede nu klare måder, hvorpå organisationer og enkeltpersoner kan begynde at engagere sig:
• Mød op og lær mere: Opret forbindelse til de fonde og organisationer, der vedligeholder den infrastruktur, man er afhængig af. Forstå deres operationelle realiteter, finansieringsmodeller og behov.
• Tilpas brug til ansvarsfølelse: Hvis den organisation, man arbejder i, er en storforbruger, bør man gennemgå sin praksis: implementer caching, reducer redundant trafik, og engager de ansvarlige i, hvordan ens virksomhed kan bidrage proportionalt.
• Byg med omhu: Hvis man opretter designværktøjer, frameworks eller sikkerhedsprodukter, bør man overveje, hvordan standardindstillinger og adfærd påvirker den offentlige infrastruktur. Reducer unødvendige anmodninger, gør proxybrug lettere, og dokumenter best practice, så brugerne kan minimere deres footprints i open-source infrastrukturen.
• Bliv finansiel partner: Støt fonde og projekter direkte gennem medlemskab, sponsorering eller ved at ansætte vedligeholdere. Forudsigelig finansiering muliggør proaktive investeringer i sikkerhed og skalerbarhed.
Bevidsthed er vigtig, men bevidsthed alene er ikke nok. Disse systemer vil kun forblive bæredygtige, hvis de, der drager mest fordel af økosystemerne, også deler aktivt i deres støtte.
Hvad er det næste?
Dette åbne brev tjener som et udgangspunkt, ikke en afslutning. Som forvaltere af denne fælles infrastruktur vil vi fortsætte med at arbejde sammen med fonde, regeringer og industripartnere for at omsætte principper til praksis. Hvert økosystem vil gå i retning af de modeller, der giver mening i egen kontekst, men alle deler den samme intention: at afstemme ansvar med brug for at sikre robustheden.
Fremtidige ændringer kan antage forskellige former, lige fra nye finansieringspartnerskaber over reviderede brugspolitikker til udvidet samarbejde med regeringer og virksomheder. Det vigtigste er, at status quo ikke kan fortsætte.
Vi inviterer til engagement sammen med os i dette arbejde: lær af de lokalsamfund, der opretholder den afhængighed af infrastrukturen, som open-source arbejdet kræver, kom med idéer og vær forberedt på en verden, hvor bæredygtighed ikke er valgfri, men forventet.
Organisatoriske underskrifter indikerer accept fra den listede virksomhed/organisation. Flere organisationer kan blive tilføjet med tiden.
FAKTABOKS:
Anerkendelse
Tak til bidragsydere fra de nævnte organisationer og det bredere community for gennemgang og inputs – eller eksempler med navne og titler:
• Robin Ginn, executive director, OpenJS Foundation.
• Michael Scovetta, co-lead, Alpha-Omega Project (OpenSSF).
• Mike Milinkovich, executive director, Eclipse Foundation (Open VSX).
• Brian Fox, CTO & co-founder, Sonatype (Maven Central).
• Nils Adermann, co-founder, Packagist (Composer).
• Deb Nicholson, executive director, Python Software Foundation (PyPI).
•David Rivero, executive director, Ruby Central (RubyGems).
• Rebecca Rumbul, executive director & CEO, Rust Foundation (crates.io).
(C/O’s for underskrivere fra Sonatype/Maven Central, Python Software Foundation/PyPI, OpenJS, Rust Foundation/crates.io, Packagist/Composer, Eclipse Foundation og andre).
FAKTABOKS SLUT
Billedtekst:
Mike Milinkovich, executive director, Eclipse Foundation (Open VSX), er medunderskriver af udtalelsen om bæredygtig forvaltning af open-source ressourcer.
