Вице-президент по безопасности в компании Anchore Джош Брессерс проанализировал данные проекта ecosyste.ms и пришёл к выводу, что большинство опенсорсных проектов поддерживается одиночными разработчиками.
ecosyste.ms каталогизирует проекты с открытым исходным кодом. Сейчас в базе данных сайта насчитывается 11,8 млн проектов. Около 7 млн из них разработчики поддерживают в одиночку. Существуют проекты и с сотнями сопровождающих, но их число гораздо ниже.
Брессерс воспользовался данными, чтобы проанализировать число сопровождающих проекты экосистемы NPM. Выяснилось, что множество проектов созданы одним человеком. Если говорить о пакетах с более чем 1 млн загрузок в этом месяце, то у половины из них всего один сопровождающий. Таким образом, примерно половину из 13 тысяч самых скачиваемых пакетов NPM курируют разработчики-одиночки.
Всего в экосистеме NPM с 4 млн проектов насчитали около 900 тысяч сопровождающих.
Брессерс напомнил инцидент, когда выяснилось, что в информационных системах Министерства обороны США активно используется открытая утилита fast‑glob от разработчика из РФ Дениса Малиночкина (mrmlnc), который работает в «Яндексе». Это эффективная библиотека для Node.js, которая разрабатывается с 2016 года. Она широко используется в тысячах проектов, включая более 30 систем Министерства обороны США.
Брессерс сослался на данные Гарварда, который оценил экономическую стоимость open source в $8,8 трлн. «Большая часть этой стоимости — это один человек. И я могу гарантировать, что ни один из этих проектов, поддерживаемых одним человеком, не будет иметь необходимого количества ресурсов. Если вы хотите поговорить о возможных рисках для вашей цепочки поставок, то один-единственный специалист по обслуживанию, которому сильно недоплачивают и который перегружен работой, — вот в чём риск»,— заключил автор анализа.
В 2024 году компания Tidelift, которая занимается поддержкой и сопровождением опенсорсного ПО, опубликовала отчёт, в котором говорится, что 60% мейнтейнеров не получают оплаты за свой труд и готовы покинуть проекты.
В том же году компании запустили инициативу Open Source Pledge. Она призвана обеспечить стабильное финансирование значимых опенсорсных проектов за счёт обязательного участия компаний, которые активно их используют.
Источник: habr.com