Lettre ouverte signée par Fondation OpenJS, Projet Alpha-Omega (OpenSSF), Fondation Eclipse (Open VSX), Sonatype (Maven Central), Packagist (Composer), Python Software Foundation (PyPI), Ruby Central (RubyGems), Fondation Rust (crates.io)

Au cours des deux dernières décennies, l’open source a révolutionné la façon dont les logiciels sont développés. Chaque application moderne, qu’elle soit écrite en Java, JavaScript, Python, Rust, PHP ou au-delà, dépend de registres de paquets publics tels que Maven Central, PyPI, crates.io, et open-vsx pour récupérer, partager et valider les dépendances. Ces derniers sont devenus une infrastructure numérique fondamentale, non seulement pour l’open source, mais aussi pour la chaîne d’approvisionnement mondiale des logiciels.

Au-delà des registres de paquets, les projets open source s’appuient également sur des systèmes essentiels pour la création, le test, l’analyse, le déploiement et la distribution de logiciels. Ils incluent également des réseaux de diffusion de contenu (CDN) qui offrent une portée mondiale et des performances à grande échelle, combinées avec une puissance de calcul et une capacité de stockage de données (généralement dans le cloud) pour les prendre en charge.

Et pourtant, malgré toute leur importance, la plupart de ces systèmes fonctionnent selon un principe dangereusement fragile : ils sont souvent entretenus, exploités et financés d’une manière qui repose sur la bonne volonté, plutôt que sur des mécanismes qui alignent la responsabilité avec l’utilisation.

Bien qu’ils servent des milliards (peut-être même des trilliards) de téléchargements chaque mois (en grande partie grâce à la consommation à l’échelle commerciale), un bon nombre de ces services sont financés par un petit groupe de bienfaiteurs. Parfois, ils sont pris en charge par des fournisseurs commerciaux, tels que Sonatype (Maven Central), GitHub (npm) ou Microsoft (NuGet). À d’autres occasions, ils sont soutenus par des fondations à but non lucratif qui dépendent de subventions, de dons et de parrainages pour couvrir leur entretien, leur fonctionnement et leur personnel.

Quel que soit le modèle d’exploitation, la situation reste la même : un petit nombre d’organisations absorbent la majorité des coûts d’infrastructure, tandis que l’écrasante majorité des utilisateurs à grande échelle, y compris les entités commerciales qui génèrent de la demande et en tirer une valeur économique, consomment ces services sans contribuer à leur durabilité.

Exigences actuelles, infrastructures réelles

Récemment, la maintenance d’un projet open source impliquait de télécharger une archive tar depuis votre machine locale. Aujourd’hui, les exigences sont très différentes :

• La résolution et la distribution des dépendances doivent être rapides, fiables et globales.
• La publication doit être vérifiable, signée et immuable.
• Les pipelines d’intégration continue (CI) comptent sur des builds déterministes avec zéro temps d'arrêt.
• Les outils de sécurité attendent une réponse immédiate par les registres publics.
• Les gouvernements et les entreprises exigent une surveillance, une traçabilité et une auditabilité continues des systèmes.
• De nouvelles exigences réglementaires, telles que la Loi Européenne sur la Cyber-Résilience (CRA), augmentent encore les obligations de conformité et les exigences en matière de documentation, ce qui augmente les frais généraux des écosystèmes aux ressources déjà limitées.
• L’infrastructure doit être réactive à d’autres types d’attaques, telles que le spam et à l’augmentation des attaques de la chaîne d’approvisionnement impliquant des composants malveillants qui doivent être supprimés.

Ces exigences entraînent des coûts réels en termes de bande passante, de puissance de calcul, de stockage, de distribution de CDN, d’exploitation et de support d’intervention d’urgence. Pourtant, dans l’ensemble des écosystèmes, la plupart des organisations qui bénéficient de ces services ne contribuent pas financièrement, abandonnant à un petit groupe de délégués le poids du fardeau.

Les systèmes d’intégration continue automatisés, les scanners de dépendances à grande échelle et les constructions de conteneurs éphémères, qui sont souvent exploités par les entreprises, exercent une pression énorme sur l’infrastructure. Ces charges de travail à l’échelle commerciale sont souvent gérées sans mise en cache, sans limitation ou même sans même conscience des sollicitations qu’elles imposent. L’essor de l’IA générative et agentique entraîne une nouvelle explosion de l’utilisation automatisée pilotée par les machines, souvent gaspilleuse, ce qui aggrave les défis existants.

L’illusion d’une infrastructure « libre et infinie » encourage l’usage dispendieux.

Distribution des logiciels propriétaires

Dans de nombreux cas, les registres publics sont maintenant utilisés pour distribuer non seulement des bibliothèques open source, mais aussi logiciels propriétaires, souvent sous forme de fichiers binaires ou de kits de développement logiciel (SDK) empaquetés en tant que dépendances. Ces projets peuvent être open source sous licence, mais ils font fonctionnellement partie d’un produit ou d’une plate-forme payante.

Pour l’éditeur, ce modèle est efficace. Il assure la fiabilité, la performance et la portée mondiale des infrastructures publiques sans avoir à les construire ou à les entretenir. En effet, les registres publics sont devenus des CDN mondiaux gratuits pour les fournisseurs commerciaux.

Nous ne pensons pas que ce soit intrinsèquement mauvais. En fait, c’est quelque peu compréhensible. Les registres publics offrent une vitesse, une disponibilité mondiale et une infrastructure de distribution fiable qui ont été déjà utilisées par leurs utilisateurs cibles, ce qui rend raisonnable pour les éditeurs commerciaux de graviter autour d’eux. Cependant, il est essentiel de reconnaître que ce n’était pas l’intention initiale de ces systèmes. Les écosystèmes d’emballage open source ont été créés pour prendre en charge la distribution de logiciels ouverts et communautaires, et non comme un backend à usage général pour la livraison de produits propriétaires. Si ces registres accomplissent maintenant les deux rôles, et le font à grande échelle, ce n’est pas grave. Toutefois, cela signifie également qu’il est temps d’aligner les attentes et les avantages.

L’utilisation à l’échelle commerciale sans soutien à l’échelle commerciale est insoutenable.

Vers la durabilité

On ne peut pas s’attendre à ce que l’infrastructure open source fonctionne indéfiniment grâce à une générosité déséquilibrée. Le véritable défi consiste à créer des modèles de financement durables qui s’adaptent à l’utilisation, plutôt que de s’appuyer sur un soutien informel et incohérent.

Il y a une différence entre un fonctionnement durable et un fonctionnement sans barrière de sécurité, sans lien significatif entre l’utilisation et la responsabilité.

Aujourd’hui, cette distinction est souvent floue. L’infrastructure open source, qu’elle soit soutenue par des entreprises ou des fondations communautaires, fait face à des demandes croissantes, alimentées par la consommation à l’échelle de l’entreprise, sans mécanismes fiables pour adapter le financement en conséquence. Des exemples documentés montrent comment ce déséquilibre entraîne des coûts pour l’écosystème, en illustrant les conséquences réelles lorsqu’il y a une illusion que toute utilisation est gratuite et illimitée.

Pour les fondations en particulier, ce défi peut être particulièrement critique. Beaucoup se voient confier la gestion de services publics essentiels, mais ils doivent le faire par le biais de financements de donateurs, de subventions et de parrainages limités dans le temps. Cela rend la planification à long terme difficile et limite souvent leur capacité à investir de manière proactive dans le personnel, la sécurité de la chaîne d’approvisionnement, la disponibilité et l’évolutivité. Pendant ce temps, un bon nombre de ces dépôts connaissent une croissance exponentielle de la demande, tandis que la croissance du soutien des sponsors est au mieux linéaire, ce qui pose un défi à la stabilité financière des organisations à but non lucratif qui les gèrent.

Dans le même temps, le défi de longue date du financement des mainteneurs n’est toujours pas résolu. Malgré des années d’expériences et d’initiatives bien intentionnées, la plupart des mainteneurs de projets critiques reçoivent encore peu ou pas de soutien durable, ce qui les laisse assumer d’énormes responsabilités dans leur temps personnel. Dans de nombreux cas, ces mêmes projets sous-financés sont soutenus par les fondations mêmes qui supportent déjà le fardeau des coûts d’infrastructure. Dans d’autres, les maigres fonds sont détournés pour couvrir les besoins opérationnels et en personnel de l’infrastructure elle-même.

Si nous étions en mesure d’apporter un meilleur équilibre et un meilleur alignement entre l’utilisation et le financement de l’infrastructure open source, cela renforcerait non seulement la résilience des systèmes dont nous dépendons tous, mais libérerait également les investissements existants, donnant aux fondations plus de marge de manœuvre pour soutenir directement les mainteneurs qui forment l’épine dorsale de l’open source.

Des écosystèmes d’un milliard de dollars ne peuvent pas reposer sur des fondations fondées sur la bonne volonté et les fins de semaine non rémunérés.

Ce qu’il faut changer

Il est temps d’adopter des approches pratiques et durables qui alignent mieux l’utilisation sur les coûts. Pendant que chaque écosystème adoptera les approches les plus raisonnables dans son propre contexte, le besoin d’agir est universel. Voici les domaines dans lesquels on devrait prendre des mesures :

• Des partenariats commerciaux et institutionnels qui permettent de financer les infrastructures proportionnellement à l’utilisation ou en contrepartie de retombées stratégiques.
• Des modèles d’accès hiérarchisés qui maintiennent la transparence pour une utilisation générale et individuelle, tout en offrant des options de performances ou de fiabilité évolutives pour les consommateurs à volume élevé.
• Des fonctionnalités à valeur ajoutée que les entités commerciales pourraient trouver utiles, telles que l’utilisation statistique.

Ce ne sont pas des idées radicales. Il s’agit de mesures pratiques et de bon sens déjà utilisées dans d’autres systèmes partagés, tels que la bande passante Internet et l’informatique en nuage. Ils maintiennent l’infrastructure ouverte accessible tout en promouvant la responsabilité à grande échelle.

La durabilité ne consiste pas à fermer l’accès ; il s’agit de garder les portes ouvertes et d’investir pour le futur.

Une ressource et une responsabilité partagées

Nous sommes fiers d’exploiter l’infrastructure et les systèmes qui alimentent l’écosystème open source et le développement des logiciels modernes. Ces systèmes servent les développeurs dans tous les domaines, les secteurs et les régions du monde.

Cependant, leur viabilité ne peut pas continuer à dépendre uniquement d’un petit groupe de donateurs ou de bienfaiteurs silencieux. Nous devons passer d’une culture de dépendance invisible à une culture d’investissements équilibrés et alignés.

Ce n’est pas (encore) une crise. Mais il s’agit d’un point critique.

Si nous agissons maintenant pour faire évoluer nos modèles, en créant un espace pour la participation, le partenariat et la responsabilité partagée, nous pouvons maintenir la force, la stabilité et l’accessibilité de ces systèmes pour tous.

Sans une action, les fondations sous-jacentes aux logiciels modernes céderont. Grâce à des mesures partagées, alignées et soutenues, nous pouvons nous assurer que ces systèmes restent solides, sécurisés et ouverts à tous.

Comment vous pouvez aider

Bien que chaque écosystème puisse adopter des approches différentes, il existe des moyens clairs pour les organisations et les individus de commencer à s’engager dès maintenant :

• Présentez-vous et apprenez : connectez-vous avec les fondations et les organisations qui gèrent l’infrastructure dont vous dépendez. Comprenez leur conditions opérationnelles, modèles de financement et besoins.
• Alignez l’utilisation sur la responsabilité : si votre organisation est un consommateur à volume élevé, passez en revue vos pratiques. Mettez en place la mise en cache, réduisez le trafic redondant et discutez avec les délégués de la manière dont vous pouvez contribuer proportionnellement.
• Développez avec soin : si vous créez des outils de génération, des frameworks ou des produits de sécurité, tenez compte de l’impact de vos défaillances et de vos comportements sur l’infrastructure publique. Réduisez les requêtes inutiles, facilitez l’utilisation du proxy et documentez les bonnes pratiques afin que vos utilisateurs puissent minimiser leur empreinte.

Devenez partenaire financier : soutenez directement les fondations et les projets, par le biais de l’adhésion, du parrainage ou de l’emploi de mainteneurs. Un financement prévisible permet d’investir de manière proactive dans la sécurité et l’évolutivité.

La sensibilisation est importante, mais la sensibilisation seule ne suffit pas. Ces systèmes resteront durables seulement si ceux qui en bénéficient le plus partagent également leur soutien.

Vers le futur

Cette lettre ouverte sert de point de départ, pas de conclusion. En tant que délégués de cette infrastructure partagée, nous continuerons à travailler avec les fondations, les gouvernements et les partenaires de l’industrie pour mettre les principes en pratique. Chaque écosystème suivra les modèles qui ont du sens dans son propre contexte, mais tous partagent la même direction : aligner la responsabilité sur l’usage pour assurer la résilience.

Les changements futurs peuvent prendre diverses formes, allant de nouveaux partenariats de financement à des politiques d’utilisation révisées, en passant par une collaboration accrue avec les gouvernements et les entreprises. Ce qui compte le plus, c’est que le statu quo ne puisse pas durer.

Nous vous invitons à vous engager avec nous dans ce travail : apprenez des communautés qui maintiennent vos dépendances, proposez des idées et préparez-vous à un monde où la durabilité n’est pas optionnelle mais escomptée.