2025年开源世界：系好安全带，颠覆即将来临！

图片由 Diana Gonçalves Osterfeld 提供

译自 | The New Stack
作者 | Heather Joslyn

在新的一年中，预计会出现有关许可、开源 AI 定义、安全与合规以及如何支付志愿维护者报酬的新紧张局势。

开源软件世界有时会给人一种泡沫般的感觉——在这里，一群热衷于解决问题的人们不断尝试解决方案、自由分享创意，并构建了一个由贡献者组成的社区。他们在会议、聚会和在线平台上相聚，互相赞美彼此的辛勤工作和创新，并提醒对方他们是多么了不起。

但外部力量有时会像滚雪球一样撼动这个泡沫。2024 年三月份，Redis 调整了其开源内存数据存储的许可政策，这使一个由 Linux 基金会支持的分叉项目 Valkey 得以面世。

十二月，Puppet（基础设施即代码工具为定位）社区宣布计划分叉该项目，此前在十一月有消息称其所有者 Perforce 将“把其团队开发的所有新二进制文件和软件包传送到一个私有、加固且受控的地方。根据终端用户许可协议（EULA）的条款，社区贡献者将获得对该私有仓库的免费访问权限，用于开发用途。”

换句话说，Puppet 现在将变为源码可用，而不再是开源。

此前被广泛使用的开源软件开始向更严格的许可，这样的趋势并不新鲜。但可以说，目前这一浪潮始于 HashiCorp 在 2023 年八月决定将 Terraform（随后还有其他产品，如 Nomad）从开源世界中撤下，并赋予它们 Business Source License v1.1 的许可。围绕 Terraform 的分叉项目 OpenTofu 正在形成社区。同样，OpenBao 也是 HashiCorp 的 Vault 密钥管理器在 2023 年末分叉而来的。

用户们正真正经历着一些“技术磨荡”——这是 Fermyon Technologies 的首席执行官兼联合创始人 Matt Butcher 针对 2023 和 2024 年开源许可风波创造的一个词，融合了 “turbulence”（动荡）和 “tribulation”（磨难）的意思。由于 Fermyon 使用 HashiCorp 的 Nomad，他的公司受到了 HashiCorp 决策所引发的动荡的影响。Butcher 对 The New Stack (TNS) 说：“我们最终不得不向他们请求对一些小部分进行例外处理，因为我们运行的是一个打了补丁的 Nomad 版本。”

但作为一位初创企业的创始人，他正在密切关注这些许可决策。专注于 WebAssembly 的 Fermyon 既有开源项目，也有付费的企业级产品。

“我希望这种特定的做法依然能够高度可行，我认为会的，” 他在十一月于北美 KubeCon + CloudNativeCon 上对 TNS 表示：“如果我们从一开始就能这样规划，就不必事后撤回，这往往会在社区中积累起不信任或恶意的假设。”

除了后期资本主义和对基于开源工具构建公司的不耐烦的投资者的需求之外，其他外部因素也在给开源世界施加压力。
例如，有生成式 AI 的威胁；以及不断变化的地缘政治格局，这带来了新的安全问题和治理法规。

还有一个长期存在的问题，即如何补偿全球范围内那支众多项目所依赖的、未获得报酬的志愿维护者大军。

2025 年开源的前景如何？以下是一些观点，这些观点来自于 2024 年秋季科技会议的采访以及 11 月份对 120 多位行业专家进行的 New Stack 调查，该调查询问了关于开源的未来、开发者对 AI 的使用以及 IT 基础设施的问题。

更多整合，以及许可协议上的变革

随着庞大的云原生生态系统的整合，预计在来年会发生更多的“动荡”。IBM 于 2024 年四月宣布以 64 亿美元收购 HashiCorp，并预计在 2025 年第一季度完成，这可能预示着一种趋势。（截至发文，事实上 IBM 已于 2025 年 2 月底正式完成对 HashiCorp 的收购，总企业价值为 64 亿美元）。

Chainguard 的首席技术官 Matt Moore 在回应 TNS 调查时表示，他希望 IBM 收购 HashiCorp 的交易能为开源社区带来成果。“我希望通过 IBM 收购 HashiCorp，他们能够弥合 Terraform 与 OpenTofu 之间的隔阂。已经有先例了，例如与 Elastic 相似的转变。”

Elastic 在 2024 年八月通过为 Elasticsearch 和 Kibana 添加 GNU Affero 通用公共许可证，将它们转为开源许可。这一举措是在公司决定将这两个项目从 Apache 2.0 许可转移出来后三年做出的。Elastic 的搜索和分析引擎 Elastic 正面临着来自由亚马逊 Web 服务赞助的分叉项目 OpenSearch 的竞争。

预测许可未来的复杂之处在于，对开源软件赞助商的压力并非单向推动；竞争可能会使公司选择为开源工具采用更严格的许可，或者推出开源版本以加速其采用。

“预测哪些开源项目会转向更严格的模式是非常难的，”Asperitas 的云场景实践负责人 Scott Wheeler 在回应 The New Stack 对行业专家的调查时说道。

尽管如此，Wheeler 指出了 Elasticsearch 和 Kibana 作为未来可能面临新许可压力的例子。而且，基于 HashiCorp 的例子，他认为以下项目未来可能会遭遇类似的压力：

• Hadoop、Kafka、Lucene（由 Apache 基金会赞助）。
• Kubernetes 和 Prometheus（由云原生计算基金会赞助）。
• Ansible（由 Red Hat 赞助）。

除了 Ansible（其采用 GNU 通用公共许可证 v3）之外，其他项目目前均采用 Apache 2.0 许可。（而且除 Ansible 之外，所有项目都托管在非营利性基金会中，可能免受商业利益的干扰。）

相比之下，Argonaut Media 总裁兼前 Linux 基金会编辑总监 Jason Perlow 告诉 TNS，“事情将向着相反的方向发展。”

Perlow 在回应 TNS 关于开源未来的调查问题时表示：“我觉得 Chrome，甚至可能是 Android，很可能会成为独立治理的开源项目，而不是因反垄断法规而被 Google 出售。” （2024 年八月，哥伦比亚特区的一家美国地区法院裁定该公司在在线搜索领域进行了非法垄断。）

GitLab 首席产品官 David DeSanto 预计，在 2025 年会看到更多曾经的开源项目转向更严格的许可。但他对这一趋势持乐观态度。

他在十一月的 KubeCon 上对 The New Stack 说：“我预计这将为开源的意义打开全新的可能。” 他以 HashiCorp 的举措为例。

“他们一直在将 Vault 从非常宽松的开源许可中剥离，但这促成了 OpenBao 的出现。而在 GitLab，我们正在构建自己的原生密钥管理器。这将催生下一轮的开源。”

开源 AI 辩论：才刚刚开始

2024 年十月，开源倡议组织（Open Source Initiative）发布了其开源 AI 定义的 1.0 版本。
OSI 的执行董事 Stefano Maffulli 在发布前对 The New Stack 表示，1.0 是一份“谦逊”的文件，正在制作中。

在该定义发布之后，批评者开始抱怨，如一些不想提供其训练数据的供应商提供了掩护，认为该定义从根本上改变了开源的含义，并且鉴于 AI 与软件代码有很大不同，也许 OSI 根本就不该尝试定义开源 AI。

Cosine 的首席运营官 Yang Li 在回应 The New Stack 的调查时表示：“关于 AI 中什么构成‘开源’，大家正在展开有趣的辩论。”

“Meta 和 Google 刚刚因为声称自己是开源而实际上并非开源而受到指责。真正的问题是：随着我们生成越来越多的合成数据，界限在哪里？你可以对你的数据来源保持开放，但保留你的合成数据生成过程的专有性。公开你的数据集和公开你如何创建数据之间的界限是模糊的。”

显然，这场辩论才刚刚开始。大公司的举措很可能会成为 2025 年讨论的内容。在 12 月 26 日的一篇公司博客文章中，OpenAI 表示有意从营利和非营利结构转变为公益公司——类似于竞争对手 Anthropic 和 xAI 一样支持非营利组织。

主要结论：AI 及其主要玩家肯定会在 2025 年吸走很多开源泡沫中的活力。

Solo.io 全球现场首席技术官 Christian Posta 在回应关于开源未来的调查问题时回答道：“最大的威胁很可能是现有开源项目的可持续性和可维护性。”

“随着 AI 持续主导技术进步，人们明显地开始更加关注 AI 相关的计划。这往往导致成熟项目，比如已经毕业于 CNCF 的项目，维护者减少，从而危及它们长期保持健康和可持续的能力。”

而对于不在 Google、Meta、Microsoft 体系下的一些组织来说，在 2025 年的开源 AI 竞争中将变得更加有挑战性。

Zilliz 工程副总裁 James Luan 在回应 TNS 调查时表示：“对于 AI 应用来说，计算和数据是核心， 但只有像 Google 或 Meta 这样的巨头能够轻易获得数据。”

“较小的开发团队甚至是个体开发者没有这种奢侈，它们会发现寻找开源模总是充满挑战。”

事实上，有人担心深度学习模型最终可能会代替开源开发。对此观点也有反对的声音。但这个威胁仍然存在。

Lightrun 产品营销主管 Eran Kinsbruner 在回应 TNS 调查时警告说：“生成式 AI 工具通常是专有的，它们为开发者提供了先进的自动化、代码生成和可观察性功能，
这可能在便利性和性能上超越开源替代品。”

“同时，复杂的架构需要高度集成、可扩展的解决方案，而专有平台更有能力提供这些。这个转变有可能使开源项目被边缘化，特别是那些无法跟上 AI 驱动的创新或分布式系统需求的项目，从而导致开源生态系统的采用和投资减少。”

安全与合规问题将上升

你可能已经注意到，当今世界并不太平。而网络攻击者则喜欢在危机中制造机会。

OSI 的 Maffulli 对 The New Stack 说：“除了 AI，另一个重大而有意义的辩论将是安全与合规。这个问题已经存在了。但在 2025 年，由于地缘政治形势变得越来越复杂混乱，这个问题将会更加突出。这一点将显得举足轻重。”

Apiiro 联合创始人兼首席执行官 Idan Plotnik 在回应 TNS 调查时指出，AI 有可能带来更多更严重的威胁。

“在 2025 年，开源软件的威胁将从传统漏洞转变为 AI 生成的后门和嵌入开源软件包中的恶意软件，” Plotnik 说道：“随着攻击者利用 AI 工具在开源代码中开发并伪装恶意软件，应对这些新威胁将需要安全工具的重大进步，以领先于这些快速演变的挑战。”

然而，还有个好消息：在 2025 年，AI 自动化工具可能有助于发现并修复更多未被维护的开源代码和技术债务，从而堵住黑客可能利用的一些漏洞入口。

SingleStore 首席营销官 Madhukar Kumar 在回应 TNS 调查时说：“我相信随着 AI 编码工具的普及，我们一定会发现未维护的开源组件有所减少，主要原因在于即便是经验有限的开发者也能在一些高度细分领域更容易、更快地编写代码。”

支付维护者报酬：需要更多资金与创意

几乎每个技术栈都使用开源代码，但大多数开源维护者实际上仍然（注意是仍然！）的回报只有 GitHub 上星标和亲亲😙表情。

Tidelift 在九月发布的一项研究中，受访开源维护者中有 60% 表示他们的工作没有得到报酬。（或许并非巧合，约相同比例的人表示他们已经退出或考虑退出他们的项目。）

行业专家称，这种继续依赖一支由未获得报酬、得不到足够认可的爱好者大军来维护关键代码库的现状将成为 2025 年对开源构成的最大威胁，包括其工具和平台的安全性。

Moore（Chainguard）在回应 TNS 调查时表示：“开源项目范围广泛，且常常是由一帮人在夜晚和周末默默维护，但是却得不到任何感谢。随着开源生态系统的复杂性和广度不断扩展，项目需更新的速度呈指数级增长。”

“随着越来越多的组织整合开源解决方案，未打补丁的漏洞和过时配置的潜在风险增加，使企业面临重大的安全和性能挑战。”

Snowflake 的生态系统和开发者平台 Snowpark 产品总监 Jeff Hollen 在回应 TNS 调查时就支付给构建和维护开源项目的人员的重要性回复了评论。

Hollen 写道：“开源依赖于赞助商和支持者。许多维护者和贡献者（包括我自己）除了日常工作外还参与开源。开源最大的威胁将是重要的企业赞助商不再鼓励、推广和支持这些贡献者和维护着的努力，以帮助他们从中获得一些价值。”

除了像 Tidelift 这样的赞助商和大公司通过将高效的维护者纳入薪资系统外，预计在 2025 年还会出现一些创意性的方法来补偿开源开发者。

明年值得关注的一个项目是 tea，这是一个由 Homebrew 创始人 Max Howell 联合创立的去中心化技术协议。Howell 推出了 Chai，该项目通过包管理器数据来衡量开源的活力。

参与者在该项目的“测试网”中注册后可获得代币；2025 年，当项目进入“主网”阶段时，这些代币将会在多个加密货币交易所上线，赋予这些代币货币价值。

Howell 告诉 The New Stack，大约有 16,000 个项目注册了 Chai 的测试网。尽管这只占了全球 1050 万个开源项目的一小部分，但这清楚地表明，在补偿开源贡献者方面，对创新思维的需求正日益迫切。

原文链接：https://thenewstack.io/open-source-in-2025-strap-in-disruptio...

本文由 白鲸开源科技 提供发布支持！