开源安全基金会 (OpenSSF) 日前联合多个知名开源 / 软件基金会发布声明，在声明中开源安全基金会明确表示不能继续无偿充当世界软件供应链的看门人，企业应当按照使用规模向开源基础设施付费。

此次声明由以下基金会联合签署：Eclipse Foundation、OpenJS Foundation、OpenSSF、Python Software Foundation、Rust Foundation、AlphaOmega Foundation、Packagist、Sonatype。

软件供应链 / 基础设施面临的压力：

目前科技和其他行业都在深度依赖软件供应链和开源基础设施，这些基金会每月甚至提供超过万亿次的软件包下载，而运营这些基础设施的基金会往往只能依靠捐赠、资助和少量赞助商的善意勉强维持生计。

声明直截了当的指出：生态系统被误导，认为可以依赖免费且无限的基础设施，而实际上带宽、存储、人员和合规性的成本正在加速增长，没有商业规模支持的商业规模使用时不可持续的。

与此同时持续集成系统和大规模扫描器会向这些软件供应链持续发送大量自动化请求，而容器构建则会给基础设施带来巨大压力，人工智能代理通过大规模抓取也在继续家具这个问题。

开源安全基金会表示所有这些都造成浪费性使用，浪费造成的成本开支都由其他人买单而不是发起请求的人买单，因此当前这种模式是不可持续的。

维护者和运营组织面临的资金压力：

开源安全基金会认为企业应当按照使用规模向这些软件供应链或开源基础设施付费，帮助这些组织能够获得持续的资金支持以便继续运营基础设施，而不是在长期缺少资金支持的情况下无法解决合规性问题、安全问题和其他问题。

就目前而言大多数软件供应或开源基础设施都无法获得持续的资金支持，也就是靠这些组织或个人无偿劳动，最终这可能造成软件供应链出现严重问题，因此必须解决资金问题让基金会由更多空间直接支持构成开源骨干的维护者。

开源安全基金会提议包括如下几点：

1. 商业和机构合作伙伴关系可以按照使用比例或以战略性利益为交换条件提供资金支持基础设施。

2. 基础设施可以考虑设置分层访问模式，对个人和常规用户保持免费开放，为大规模使用的组织提供付费可靠性选项。

3. 商业实体可能还会发现某些有价值的增值服务，例如使用情况统计等，商业实体可以订阅增值服务提供资金支持。

开源软件基金会称目前情况还不是危机， 但应该可以作为转折点，如果现在不积极采取行动改进模式，那么现代软件的根基将会崩塌，而通过共享、协调和持续的行动，可以确保这些系统继续保持强大、安全并向所有人开放。