– Ekosystem värda miljarder kan inte vila på goodwill och obetalda helger, säger uppropet.

Protesten handlar om kod­servrar, fildistributionsnät, byggverktyg och annan infrastruktur som tagits fram för att stödja utvecklingen av öppen källkod.

I själva verket är det ofta kommersiella företag som drar nytta av dessa tjänster. Utan att betala för sig. Och dessutom på ett slösaktigt sätt – eftersom det är ”gratis” funderar de inte över effektiviseringar.

Maven Central – en kodserver för Java – slog förra året näven i bordet och ströp trafiken till den 1 procent av användarna som slukade 83 procent av bandbredden. Detta för att tvinga dem att sätta upp egna servrar för att spegla innehållet istället för att hela tiden anropa Maven.

Frågan hur öppen källkod ska finansieras har ältats i åratal. Öppenkodsprojekt är typiskt oavlönade enmansprojekt – trots att miljardindustrier bygger på deras insats. Öppen källkod fungerar lite grand som sociologernas ”osynliga mamma”. Hon får hemmet och familjen att fungera – men ingen noterar ens att hon existerar. 

Den här gången gäller uppropet inte de osynliga utvecklarna – även om de också får ett omnämnande – utan den osynliga infrastrukturen – hårdvaran och de öppna systemen kring öppen källkod.

Hela mjukvaruindustrin använder bland annat så kallade paketregister som lagrar källkod, och byggsystem där du kokar ihop egna projekt. Det finns även öppna system som lagrar kryptosignaturer och system som annonserar aktuella cybersårbarheter. Och mer därtill – se faktarutan.

Driften och finansieringen av de här systemen baseras idag huvudsakligen på goodwill. Ur användarens perspektiv ser allt ut att vara gratis – du ger kommandot ”apt upgrade” och magiskt – från ett ymnighetshorn någonstans – laddas senaste versionerna av dina kodmoduler hem.

IT-jättarna finns bland de som faktiskt tar ansvar: Microsoft, Google, Amazon, Meta, Intel, Oracle, med flera. De driver tjänster på egen hand eller sponsrar stiftelser som Linux, Apache och Mozilla. 

Men merparten av användningen av den här infrastrukturen görs av kommersiella aktörer. De gör miljarder – kanske biljoner – nedladdningar i månaden – utan att bidra med något i retur. 

Det har blivit en ohållbar modell, anser ett upprop från en grupp som kallar sig öppenkodsinfrastrukturförvaltarna – ”The Stewards of Public Open Source Infrastructure”.

Artikeln är tidigare publicerad i magasinet Elektroniktidningen. Prenumerera kostnadsfritt!

Uppropet ska enligt plan ha publicerats en dag efter att denna tidning gick i tryck. Elektroniktidningen har fått tjuvläsa en version, men den saknade undertecknare. Stiftelsen Eclipse är den vi känner till – en förvaltare av många öppenkodsprojekt.

Belastningen på infrastrukturen ökar just nu dramatiskt, enligt uppropet. En av ”bovarna” är utvecklingsmetoden CI/CD som bygger kompletta program för varje kodändring. En annan är så kallade containrar som föds och dör och varje gång laddar ner nya kopior av sina kodmoduler.

Ytterligare en bov är ökande krav. Användare världen över förväntar sig snabb distribution av mjukvara. EU:s CRA. Cyber Resilience Act, kommer att späda på med sina krav på att all sjösatt mjukvara i inbyggda system ska kunna säkerhetsuppdateras mot nya hot under hela sin livstid.

AI kan bli nästa jätten Glufs-Glufs. Om hajpen håller vad den lovar kommer AI-agenter att börja driva utvecklingsprojekt i rasande tempo och skapa ny belastning på kod- och byggservrar. 

Allt detta är i princip en god utveckling – eller i alla fall oundviklig. Men den ökar belastningen på infrastrukturen. Trafiken växer exponentiellt men donationerna linjärt, enligt uppropet.

Uppropet pekar speciellt på att slutprodukten ofta är en kommersiell produkt som utnyttjat öppna kodkomponenter. Vilket i princip är helt sin ordning. Men det var egentligen inte för kommersiell användning som infrastrukturen skapades. Kommersiella aktörer behöver betala för sig eller få någon annan form av incitament för att rätta munnen efter matsäcken.

– Storskalig kommersiell användning utan storskalig kommersiell support är inte hållbart, säger uppropet.

Uppropet betonar att krisen inte är över oss ännu men att det är kritiskt att lösningar hittas nu.

Uppropet presenterar tre idéer:

• Att hitta sätt att låta företag bidra proportionellt mot sin användning

• Fria konton för småanvändare och betalda extratjänster för extra prestanda eller garantier

• Finansiering genom mervärdestjänster, som statistik.

Det här är strukturella idéer som industrin nu uppmanas att börja diskutera. Det som enskilda användare på en gång kan göra är 

• att sätta sig in i hur systemen fungerar och lära känna organisationerna bakom,

• att bli frugala användare som uppdaterar sina system mindre frekvent eller sätter upp egna mellanlager för att belasta den gemensamma infrastrukturen mindre. 

• Om du inte bidrar finns kanske projekt som det ligger i ditt intresse att sponsra, engagera dig i eller anställa människor från.

Open source-infrastrukturen Programmerare älskar automatisering. Verktygen för att administrera de alltmer omfattande projekten har vuxit fram med åren i takt med behoven.  • Så kallade paketregister som lagrar kod för Python (PyPI) Java (Maven Central), Javascript (NPM) och andra programspråk. • Datalager, repositories, för Linux och andra operativsystem och deras programvara och verktyg. • Servrar som lagrar pågående öppenkodsprojekt och håller installationer uppdaterade (GitHub, Bitbucket, Sourcehut). • System som automatiserar kompilering, test, signering och publicering av kod (Jenkins, Travis, Debian). • Cacheservrar som hjälper till att distribuera ovanstående (Fastly, Cloudflare, Akamai, universitet och företag). • System för signering, ­validering och annan cybersäkerhet (GPG-nyckelservrar, Sigstore). • Sårbarhetsdatabaser (NVD, OSV, CVE). • E-postlistor, samarbetsprogram. • Försvar mot överbelastnings­attacker och spam. • Monitorering av att allt ovanstående fungerar: att servrar är uppe och exakt vilka paketversioner som levererats och att de är signerade.