Hacker News

Open Source Endowment – ​​nový zdroj financovania pre správcov open source

Komentáre

16 min read Via endowment.dev

Mewayz Team

Editorial Team

Hacker News

Tichá kríza poháňajúca digitálnu ekonomiku

Niekde práve teraz osamelý vývojár opravuje kritickú zraniteľnosť v knižnici, ktorá poháňa približne 78 % internetových webových serverov. Robia to o polnoci, po celom dni v platenej práci, pretože im za túto prácu nikto neplatí. Knižnica má 2,3 miliardy stiahnutí. Jeho správca na ňom minulý rok zarobil 0 dolárov. Toto nie je hypotetické – je to príbeh nespočetných projektov s otvoreným zdrojovým kódom, ktoré tvoria neviditeľný základ každej platformy SaaS, každého podnikového balíka, každej mobilnej aplikácie, ktorá dnes funguje.

Problém udržateľnosti otvoreného zdroja nie je nový, ale dosiahol skutočný inflexný bod. Keď sa v decembri 2021 objavila zraniteľnosť Log4Shell, odhalila knižnicu spravovanú hŕstkou dobrovoľníkov, ktorí sedeli v systémoch v spoločnostiach Apple, Amazon, Tesla a vláde USA. Následná snaha o opravu stála organizácie odhadom 10 miliárd dolárov na nápravu. Správcovia nedostali žiadnu kompenzáciu. Poučenie bolo jasné: globálna ekonomika vybudovala kritickú infraštruktúru na dobrovoľníckej práci a nazvala to vlastnosť.

Nový model financovania teraz naberá na sile: open source dotácia. Tento prístup, vypožičaný zo sveta univerzít a kultúrnych inštitúcií, sľubuje niečo, čo predchádzajúca vlna sponzorských platforiem nikdy celkom nepriniesla – štrukturálne, trvalé financovanie, ktoré sa nevyparí, keď korporátny sponzor zmení priority.

Čo vlastne znamená nadácia pre open source

Dotačný model je zdanlivo jednoduchý. Súbor kapitálu – zvyčajne darovaný korporáciami, nadáciami alebo bohatými jednotlivcami – sa investuje do diverzifikovaného portfólia. Správcom a projektom sa rozdeľujú iba ročné výnosy, zvyčajne 4 – 5 % z celkovej sumy. Riaditeľ zostane nedotknutý na dobu neurčitú. Dotácia vo výške 50 miliónov USD, ktorá generuje konzervatívny 4,5 % ročný výnos, produkuje 2,25 milióna USD ročne v trvalom financovaní, úplne oddelene od toho, či sa nejaká konkrétna spoločnosť cíti v danom štvrťroku štedrá.

Je to zásadne odlišné od toho, ako fungujú platformy ako GitHub Sponsors, Open Collective alebo Patreon. Tieto modely, hoci sú cenné, vytvárajú to, čo ekonómovia nazývajú volatilita financovania – správcovia budujú závislosť na tokoch príjmov, ktoré sa môžu zrútiť zo dňa na deň, keď sa získa firemný sponzor, prepustí sa alebo sa jednoducho rozhodne presmerovať svoj open source rozpočet. Štúdia Linuxovej nadácie zistila, že viac ako 60 % kritických projektov s otvoreným zdrojovým kódom zaznamenalo výrazný pokles financovania počas akéhokoľvek daného trojročného obdobia.

Tento štrukturálny problém riešia nadácie. Nadácia Apache Software Foundation už roky prevádzkuje kvázi dotačný model, a to je dôvod, prečo projekty Apache zostali stabilné počas viacerých ekonomických cyklov. Podobne vybudované rezervy má aj Python Software Foundation. To, čo sa teraz mení, je tlak na formalizáciu, škálovanie a systematizáciu tohto prístupu v rámci širšieho ekosystému – nielen pre nadácie, ale aj pre jednotlivých správcov a menšie projektové komunity.

Čísla v pozadí problému závislosti

Aby ste pochopili, prečo na dotáciách záleží, musíte najprv pochopiť rozsah asymetrie závislosti. Výskum spoločnosti Synopsys zistil, že 97 % komerčných kódových báz obsahuje komponenty s otvoreným zdrojovým kódom a priemerná aplikácia využíva 528 jedinečných závislostí open source. Spoločnosti, ktoré stavajú na týchto závislostiach, vygenerovali v roku 2024 biliónové príjmy. Udržiavatelia týchto závislostí spoločne dostávali na oplátku zlomok percenta tejto hodnoty.

Zvážte niektoré konkrétne prípady, ktoré ilustrujú medzeru. Balík colors.js bol stiahnutý 23 miliónov krát za týždeň, než ho jeho správca, frustrovaný rokmi nulovej kompenzácie, úmyselne poškodil v januári 2022. Incident ľavého bloku z roku 2016 – kde 11-riadkový balík údržby, ktorý nebol zverejnený – prelomil tisícky zostáv, vrátane React a $0, bol spor o kompenzáciu Node.j. Situácia faker.js takmer presne odzrkadľovala súbor colors.js. Neboli to ojedinelé prípady zlého správania vývojárov; boli to symptómy zásadne narušenej stimulačnej štruktúry.

„Digitálnu ekonomiku sme postavili na základe dobrovoľníckej práce a nazvali sme ju „komunita“. V určitom okamihu sa komunita unaví. Odmeny sú spôsob, akým robíte vďačnosť štrukturálnou namiesto túžobnej."

Obchodný prípad pre firemnú účasť na dotáciách s otvoreným zdrojom je v skutočnosti silnejší, než si mnohé finančné tímy uvedomujú. Štúdia Harvard Business School z roku 2023 odhadla ekonomickú hodnotu široko používaného softvéru s otvoreným zdrojovým kódom na 8,8 bilióna dolárov – hodnotu, ku ktorej majú spoločnosti bezplatný prístup, ale ktorej produkciu väčšinou nefinancujú. Prispievanie do nadácie nie je charita; je to údržba infraštruktúry maskovaná ako filantropia.

Ako sa navrhujú nadačné štruktúry

Vznikajúce dotačné modely pre open source sa líšia v štruktúre, ale niekoľko princípov dizajnu sa spája okolo toho, čo skutočne funguje:

  • Nezávislosť od podnikového riadenia: Najfunkčnejšie modely oddeľujú darcov od rozhodovania. Prispievatelia financujú nadáciu, ale nedostávajú hlasy o tom, ktoré projekty dostanú distribúciu.
  • Transparentné alokačné algoritmy: Projekty ako FOSS Fund experimentovali s modelmi nominácie zamestnancov; iní používajú analýzu grafov závislosti na priradenie financovania k projektom s najširším následným dopadom.
  • Využívanie finančných prostriedkov definované správcom: Efektívne dotácie neviažu distribúcie na reťazec. Správcovia môžu použiť prostriedky na svoj čas, na bezpečnostné audity, na dokumentáciu alebo jednoducho ako kompenzáciu za roky predchádzajúcej práce.
  • Viacročné obdobia záväzkov: Korporácie, ktoré sa zaviažu poskytnúť dotácie, tak zvyčajne robia v horizonte 5 až 10 rokov, čím poskytujú stabilitu plánovania, ktorú jednoročné sponzorské cykly nedokážu.
  • Myslenie na úrovni ekosystému: Najlepšie dotačné štruktúry financujú nielen veľké projekty, ale aj dlhé časti menej známych nástrojov, ktoré ich podporujú – také projekty, ktoré majú 50 hviezdičiek GitHub a 40 miliónov stiahnutí týždenne.

Sovereign Tech Fund podporovaný nemeckou vládou rozdelil od roku 2022 viac ako 26 miliónov EUR do infraštruktúry s otvoreným zdrojom a predstavuje vládou vedenú verziu tohto modelu. V Spojených štátoch Open Source Security Foundation (OpenSSF) prilákala viac ako 150 miliónov dolárov v záväzkoch od spoločností Google, Microsoft, Amazon a ďalších – funguje ako hybrid medzi riadeným fondom a skutočným dotovaním.

Firemná kalkulácia: Prečo práve teraz

Niečo sa zmenilo v postojoch spoločností po sérii útokov na veľký dodávateľský reťazec. SolarWinds v roku 2020, Log4Shell v roku 2021 a zadné vrátka XZ Utils v roku 2024 – kde herec z národného štátu strávil dva roky pestovaním dôvery ako falošný prispievateľ s otvoreným zdrojovým kódom predtým, ako zasadil zadné vrátka – prinútili bezpečnostné tímy a finančných riaditeľov venovať pozornosť spôsobom, akým to predtým nerobili. Najmä incident XZ Utils bol mrazivý, pretože takmer uspel a pretože využil presne tú zraniteľnosť, ktorú podfinancovaný open source vytvára: správcovia vyhoreli dosť na to, aby privítali pomoc od cudzincov.

Nové požiadavky SEC na zverejňovanie softvérového dodávateľského reťazca, účinné pre verejné spoločnosti, zvýšili regulačný tlak. Spoločnosti teraz musia systematicky premýšľať o svojich závislostiach na open source nielen z technických dôvodov, ale aj z právnych dôvodov a dôvodov dodržiavania predpisov. Toto myslenie prirodzene vedie k otázke: aké je riziko zlyhania týchto závislostí a koľko by to stálo jeho zmiernenie? Dotačná účasť sa čoraz častejšie objavuje v stĺpci „zmiernenie rizika“ tejto analýzy, nielen v stĺpci „je príjemné mať“.

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

Pre spoločnosti, ako je Mewayz – ktorá funguje v rámci 207 integrovaných obchodných modulov, ktoré obsluhujú viac ako 138 000 používateľov na celom svete – nie je balík open source náhodný; je to zakladne. Každá vrstva moderného obchodného OS, od databázových motorov cez autentifikačné knižnice až po súpravy SDK na spracovanie platieb, sa dotýka open source. Platformy postavené v tomto rozsahu majú štrukturálny záujem o stabilitu otvoreného zdroja a zároveň majú príležitosť stať sa prvými účastníkmi modelov dotácií, ktoré signalizujú dlhodobé riadenie ekosystémov.

Čo správcovia skutočne potrebujú (nie sú to len peniaze)

Konverzácie o financovaní z otvoreného zdroja sa často zrútia na „len zaplaťte správcom viac“, ale realita v teréne je viac nuansovaná. Mnohí správcovia, ktorí dostávajú financie prostredníctvom platforiem, ako sú sponzori GitHub, uvádzajú, že samotné peniaze neriešia ich primárne bolestivé body. Vyhorenie, nastavenie hraníc, správa prispievateľov a zložitosť správy sú rovnako významnými prekážkami udržateľnej údržby.

Začínajú s tým počítať tie najpremyslenejšie návrhy nadácií. Prieskum skupiny Plaintext Group týkajúci sa pohody správcov zistil, že správcovia sústavne hodnotia tieto potreby ako svoje hlavné potreby:

  1. Spoľahlivý, opakujúci sa príjem namiesto jednorazových darov
  2. Pomoc s administratívnou a riadiacou prácou, nielen s príspevkami do kódu
  3. Financovanie bezpečnostného auditu, ktoré nevyžaduje, aby sa správca stal bezpečnostným expertom
  4. Právna podpora pre otázky týkajúce sa licencií a problémov s dodržiavaním predpisov
  5. Zdroje duševného zdravia a komunita rovesníkov s ostatnými správcami

Nadácie štruktúrované s týmto porozumením sa posúvajú nad rámec čistého rozdeľovania hotovosti smerom k tomu, čo by sa dalo nazvať dotácie na služby – modely, v ktorých sa fondy špecializujú na pomoc v mene projektov a nie len na vypisovanie šekov. Model Tidelift poukázal týmto smerom, aj keď kritici poznamenávajú, že sa stále spolieha skôr na príjmy na predplatiteľa než na skutočnú dotáciu.

Vybudovanie infraštruktúry pre trvalý otvorený zdroj

Praktická výzva implementácie dotácií vo veľkom je inštitucionálna, nie finančná. Vytvorenie legálne spoľahlivej dotačnej štruktúry si vyžaduje štatút nadácie, vyhlásenia o investičnej politike, riadenie konfliktu záujmov a distribučné kritériá – druh organizačnej réžie, na riadenie väčšiny open source projektov je mimoriadne zle vybavená. Tu sú sprostredkovateľské organizácie kritické.

Niekoľko neziskových organizácií sa stavia do pozície poskytovateľov nadačnej infraštruktúry – organizácie, ktoré prijímajú príspevky, držia a investujú kapitál a rozdeľujú výnosy podľa dohodnutých kritérií, takže jednotlivé projekty si túto kapacitu nemusia budovať samy. Software Freedom Conservancy, NumFOCUS a Eclipse Foundation majú všetky prvky tejto schopnosti, hoci žiadna z nich ešte nespustila plne formalizovaný produkt s trvalou dotáciou, ku ktorému sa môžu ľahko pripojiť aj menšie projekty.

Najsľubnejším vývojom môže byť objavenie sa on-chain endowment experimentov v ekosystéme Ethereum, kde inteligentné zmluvy môžu presadzovať pravidlá distribúcie s matematickou presnosťou a úplnou transparentnosťou. Experimenty s kvadratickým financovaním Gitcoinu, hoci nejde o dotácie v prísnom zmysle slova, boli priekopníkmi v myslení o riadení, ktoré bude formovať tieto návrhy. Správne štruktúrovaná dotácia v reťazci by teoreticky mohla úplne odstrániť ľudskú diskrétnosť z distribúcie a prideľovať prostriedky na základe grafov závislosti, stavu bezpečnostného auditu a signálov aktivity správcu – automaticky a neustále.

Cesta vpred: Od ašpirácie k architektúre

Hnutie dotácií s otvoreným zdrojom je ešte skoro, ale trajektória je jasná. Kombinácia regulačného tlaku, bezpečnostných incidentov a rastúcej podnikovej sofistikovanosti v oblasti rizika dodávateľského reťazca vytvára podmienky pre skutočnú tvorbu kapitálu. Otázkou je, či sa dá inštitucionálna infraštruktúra vybudovať dostatočne rýchlo na to, aby zachytila tento kapitál skôr, ako sa rozptýli do menej štruktúrovaných alternatív.

V širšom technologickom priemysle ide oveľa ďalej, než je samotná komunita open source. Revolúcia v produktivite, ktorú softvér priniesol za posledných 30 rokov, je v podstate dividendou v investíciách do otvoreného zdroja – investície realizované predovšetkým jednotlivými dobrovoľníkmi, ktorí na oplátku nedostali takmer nič. Dotácie predstavujú oneskorené, ale nevyhnutné uznanie, že tento model, hoci je pozoruhodný, nie je udržateľný bez štrukturálnej podpory.

Spoločnosti a platformy, ktoré sa včas zapoja do dobre navrhnutých dotačných štruktúr, urobia stávku, ktorá sa nevyplatí v tlačových správach, ale v niečom trvácnejšom: pokračujúcej existencii a bezpečnosti softvérových ekosystémov, od ktorých závisí ich podnikanie. Vo svete, kde sa digitálna a fyzická ekonomika čoraz viac zhodujú, to nie je filantropia. To je údržba infraštruktúry. A infraštruktúra, ako vám povie každý inžinier, sa sama neudržiava.

Často kladené otázky

Čo je to Open Source Endowment a ako sa líši od tradičného sponzorstva?

Open Source Endowment je model dlhodobého financovania, kde sa investuje kapitál a iba výnosy sa rozdeľujú medzi správcov – poskytuje stabilný, opakujúci sa príjem, a nie jednorazové dary. Na rozdiel od tradičného sponzorstva, ktoré môže zmiznúť zo dňa na deň, dotácia vytvára finančnú nezávislosť, čo vývojárom umožňuje zamerať sa na bezpečnosť, kvalitu a dlhodobú udržateľnosť bez toho, aby sa museli usilovať o krátkodobý firemný goodwill.

Prečo by sa podniky mali starať o financovanie knižníc s otvoreným zdrojovým kódom, na ktorých sú závislé?

Každý moderný obchodný balík sa ticho spolieha na otvorený zdrojový kód. Keď sa v neudržiavanej knižnici objaví kritická zraniteľnosť, náklady na narušenie prevyšujú akýkoľvek finančný príspevok. Platformy ako Mewayz – 207-modulový obchodný operačný systém za 19 USD mesačne – sú postavené na základoch open source. Investovanie do ekosystému, ktorý poháňa vaše nástroje, je jednoducho dobrý manažment rizík a etické obchodné praktiky.

Kto sa kvalifikuje na získanie finančných prostriedkov prostredníctvom programu Open Source Endowment?

Oprávnenosť sa zvyčajne zameriava na správcov široko prijatých, verejne licencovaných projektov, ktoré preukazujú merateľný vplyv – napríklad objem sťahovania, závislé úložiská alebo využitie kritickej infraštruktúry. Prioritou sú samostatní správcovia a malé tímy s obmedzenou komerčnou podporou, pretože veľké projekty sponzorované spoločnosťami už majú zdroje. Cieľom je dosiahnuť o polnoci prehliadnuté zraniteľné miesta vývojárov pri opravovaní chýb s nulovou finančnou návratnosťou.

Ako môžu nezávislí vývojári a malé tímy získať udržateľný príjem nad rámec grantov s otvoreným zdrojom?

Okrem dotácií môžu vývojári diverzifikovať príjmy prostredníctvom poradenstva, spravovaného hostingu a platforiem typu všetko v jednom, ktoré znižujú prevádzkovú réžiu. Mewayz (app.mewayz.com) ponúka 207-modulový obchodný operačný systém za 19 USD/mesiac, ktorý umožňuje vývojárom prevádzkovať klientske portály, CRM a fakturáciu bez toho, aby museli žonglovať s desiatkami platených nástrojov – uvoľňujúc tak viac času a rozpočtu na investovanie späť do práce s otvoreným zdrojom, na ktorej záleží.