Ανοικτό λογισμικό, ελλιπής στήριξη, γιατί οι maintainers πιέζονται όλο και περισσότερο

Στις 17 Μαρτίου 2026, το Linux Foundation ανακοίνωσε νέα χρηματοδότηση 12,5 εκατ. δολαρίων από επτά οργανισμούς τεχνολογίας, Anthropic, AWS, GitHub, Google, Google DeepMind, Microsoft και OpenAI. Τα χρήματα θα περάσουν μέσω των Alpha-Omega και OpenSSF και προορίζονται για ενίσχυση της ασφάλειας έργων ανοικτού λογισμικού που δέχονται αυξανόμενο όγκο αυτοματοποιημένων αναφορών ευπαθειών.

Η κίνηση απαντά σε ένα πραγματικό πρόβλημα, αλλά δεν λύνει το βασικό. Οι συντηρητές ανοικτού λογισμικού πιέζονται εδώ και χρόνια από έλλειψη χρηματοδότησης, μεγάλο φόρτο εργασίας και δυσανάλογη εξάρτηση της αγοράς από έργα που στηρίζονται σε ελάχιστους ανθρώπους.

Έξι στους δέκα συντηρητές δεν πληρώνονται

Σύμφωνα με το 2024 Tidelift Maintainer Impact Report, το 60% των συντηρητών ανοικτού λογισμικού δηλώνει ότι εργάζεται ως απλήρωτος ερασιτέχνης. Το ίδιο ποσοστό αναφέρει ότι έχει είτε εγκαταλείψει είτε σκεφτεί σοβαρά να εγκαταλείψει τη συντήρηση κάποιου έργου.

Αυτό δεν αφορά μόνο μικρά ή περιφερειακά έργα. Αφορά βιβλιοθήκες, πακέτα και εργαλεία που χρησιμοποιούνται μέσα σε εμπορικά προϊόντα, υπηρεσίες cloud και εταιρικές υποδομές.

Οι αυτοματοποιημένες αναφορές ασφαλείας αυξάνουν τον φόρτο

Το Linux Foundation συνδέει ρητά τη νέα χρηματοδότηση με την αύξηση αυτοματοποιημένων αναφορών ασφαλείας. Το πρόβλημα έχει γίνει αρκετά ορατό ώστε να επηρεάζει άμεσα τον χρόνο που διαθέτουν οι συντηρητές για πραγματική συντήρηση κώδικα.

Η περίπτωση του curl είναι το πιο καθαρό παράδειγμα. Ο Daniel Stenberg ανακοίνωσε τον Ιανουάριο του 2026 ότι το έργο σταματά το πρόγραμμα bug bounty, επειδή η αξιολόγηση υποβολών χαμηλής ποιότητας είχε γίνει δυσανάλογα χρονοβόρα. Όπως έγραψε, μέσα σε μία μόνο εβδομάδα έφτασαν επτά αναφορές χωρίς να επιβεβαιωθεί καμία πραγματική ευπάθεια.

Σχετικό υλικό του OpenSSF, που χρησιμοποιείται στη συζήτηση για το πρόβλημα, παραπέμπει επίσης στο curl και σημειώνει ότι περίπου το 5% των υποβολών αντιστοιχούσε σε γνήσιες ευπάθειες. Το υπόλοιπο ήταν κυρίως θόρυβος, συχνά με ενδείξεις κειμένου παραγόμενου από εργαλεία τεχνητής νοημοσύνης.

Το εμπορικό λογισμικό εξαρτάται μαζικά από ανοικτό κώδικα

Η έκθεση OSSRA 2025 της Black Duck δείχνει πόσο βαθιά έχει ενσωματωθεί ο ανοικτός κώδικας στο εμπορικό λογισμικό. Το 97% των ελεγμένων εμπορικών codebases περιείχε συστατικά ανοικτού κώδικα. Το ίδιο υλικό αναφέρει ότι το 91% των εφαρμογών που ελέγχθηκαν περιείχε παρωχημένα στοιχεία ανοικτού λογισμικού, δηλαδή όχι την πιο πρόσφατη διαθέσιμη έκδοσή τους.

Το εύρημα αυτό δείχνει πόσο μεγάλο μέρος της εμπορικής αγοράς εξαρτάται από εξαρτήσεις που δεν ενημερώνονται όσο συχνά θα έπρεπε.

Η πίεση φαίνεται και στις δημόσιες υποδομές

Το ίδιο μοτίβο εμφανίζεται και στις κοινές υποδομές του οικοσυστήματος. Σύμφωνα με τον Brian Fox της Sonatype, όπως ανέφερε το The Register, το 82% της κατανάλωσης του Maven Central προέρχεται από λιγότερο από το 1% των διευθύνσεων IP, ενώ περίπου το 80% της κίνησης συνδέεται με τους τρεις μεγάλους hyperscalers.

Με άλλα λόγια, ένα πολύ μικρό κομμάτι της αγοράς τραβά δυσανάλογο μέρος των πόρων μιας δημόσιας υποδομής που συντηρείται με περιορισμένα μέσα.

Τι καλύπτει η νέα χρηματοδότηση και τι μένει έξω

Η δωρεά των 12,5 εκατ. δολαρίων είναι σημαντική, αλλά έχει σαφώς οριοθετημένο στόχο. Η ανακοίνωση του Linux Foundation αφορά κυρίως την ασφάλεια ανοικτού λογισμικού και τη διαχείριση του αυξημένου όγκου αναφορών ευπαθειών. Δεν παρουσιάζεται ως γενική απάντηση στο ζήτημα της αμοιβής των συντηρητών ή της μακροχρόνιας οικονομικής στήριξής τους.

Αυτό σημαίνει ότι η κίνηση αντιμετωπίζει ένα άμεσο σύμπτωμα, όχι ολόκληρο το πρόβλημα. Οι αυτοματοποιημένες αναφορές χαμηλής ποιότητας είναι ένας νέος παράγοντας πίεσης. Η χρόνια υποχρηματοδότηση των συντηρητών, όμως, παραμένει το βασικό ζήτημα.

Πηγές

• Linux Foundation: ανακοίνωση χρηματοδότησης 12,5 εκατ. δολαρίων για την ασφάλεια ανοικτού λογισμικού
• The Register: Linux Foundation kicks off effort to shield FOSS maintainers from AI slop bug reports
• Tidelift: The 2024 Tidelift Maintainer Impact Report
• Daniel Stenberg: The end of the curl bug-bounty
• OpenSSF: AI-SLOP, develop best current practices for open source maintainers and vulnerability reporters
• The Register: Open source package repositories face sustainability crisis
• Black Duck: OSSRA data answers open source questions