L’infrastructure ouverte n’est pas gratuite : déclaration conjointe sur une gouvernance durable

Résumé de la déclaration conjointe « L’infrastructure ouverte n’est pas gratuite : déclaration conjointe sur une gouvernance durable »

Récemment, plusieurs grandes fondations open source et organisations gestionnaires de dépôts de paquets, dont l’OpenSSF (Open Source Security Foundation), ont publié une déclaration conjointe intitulée « Open Infrastructure is Not Free ». Les points clés de cette déclaration sont les suivants.

Le problème soulevé : une utilisation massive et un soutien insuffisant

• Le problème du coût de l’infrastructure open source : des dépôts de paquets open source comme PyPI (Python), crates.io (Rust) et Maven Central (Java) sont utilisés gratuitement par un très grand nombre de développeurs et d’entreprises, mais leur exploitation et leur maintenance engendrent des coûts considérables.
• Une structure non durable : aujourd’hui, cette infrastructure repose sur le soutien de quelques entreprises ou fondations à but non lucratif, ainsi que sur les dons et les efforts de bénévoles. Mais avec l’explosion de l’usage des systèmes CI/CD automatisés, des scanners de dépendances à grande échelle et des agents IA, la charge que cette infrastructure doit absorber augmente de façon exponentielle.
• Un déséquilibre qui s’aggrave : en particulier, même les entreprises qui utilisent massivement l’infrastructure open source à des fins commerciales contribuent à peine à cette charge financière, ce qui aggrave fortement le déséquilibre où « un grand nombre bénéficie des sacrifices d’une minorité ».

L’argument central : une responsabilité à la hauteur de l’usage et l’appel à un modèle durable

• Reconnaître une responsabilité collective : la déclaration appelle tous les acteurs de l’écosystème open source, en particulier les grands utilisateurs commerciaux, à reconnaître leur responsabilité commune dans le maintien de l’infrastructure.
• Rechercher un modèle de financement durable : elle affirme qu’il faut sortir du soutien informel et incohérent actuel pour construire un modèle de financement durable reliant usage et coûts. Cela ne signifie pas rendre l’accès payant, mais investir afin de maintenir l’écosystème ouvert et stable dans la durée.
• Investir pour l’avenir : elle souligne qu’un tel effort doit permettre d’améliorer la stabilité de l’infrastructure et, au-delà, de créer un cercle vertueux dans lequel les mainteneurs sont rémunérés et l’écosystème peut se développer plus sainement.

Organisations participantes

Cette déclaration conjointe réunit, aux côtés de l’OpenSSF, plusieurs acteurs majeurs tels que Alpha-Omega, la Fondation Eclipse (Open VSX), la Fondation OpenJS, Packagist (Composer), la Python Software Foundation (PyPI), la Rust Foundation (crates.io) et Sonatype (Maven Central) afin d’alerter sur la gravité du problème et d’appeler à la mise en place de solutions.