新年伊始，圍繞許可、開源AI定義、安全合規以及如何支付志愿者維護人員等問題，預計將出現新的緊張局勢。

譯自Open Source in 2025: Strap In, Disruption Straight Ahead，作者 Heather Joslyn。

開源軟件世界有時感覺像一個泡沫，熱愛解決問題的人們在這里鉆研解決方案，自由分享想法，并建立全球貢獻者社區。他們聚集在會議、聚會和網上，贊揚彼此的辛勤工作和創新，并互相提醒他們有多么優秀。

但外部力量有時會像搖動雪球一樣撼動這個泡沫。三月份，Redis調整了其開源內存數據存儲的許可證，這促使了Linux基金會支持的分支的創建，Valkey。

十二月份，圍繞Puppet（一個基礎設施即代碼工具）的社區宣布計劃對其進行分叉，這是繼十一月份的新聞之后，其所有者Perforce將“將其團隊開發的任何新的二進制文件和軟件包交付到一個私有的、強化和受控的位置。社區貢獻者可以在最終用戶許可協議 (EULA) 的條款下免費訪問此私有存儲庫，用于開發用途?！?/span>

換句話說，Puppet現在將是源代碼可用的，而不是開源的。

廣泛使用的開源軟件轉向更嚴格的許可證的趨勢并非新鮮事。但當前的浪潮可以說是從HashiCorp2023年8月決定將Terraform（隨后還有其他產品，如Nomad）從開源世界撤回，并將它們分配給商業源許可證v1.1開始的。一個圍繞Terraform的分支OpenTofu的社區正在發展壯大。同樣，OpenBao，一個在2023年底創建的HashiCorp Vault密鑰管理器分叉也是如此。

用戶確實經歷了一些“動蕩”——Matt Butcher（Fermyon Technologies的首席執行官兼聯合創始人）創造的一個詞，用來形容2023年和2024年的開源許可風波——“湍流”和“磨難”的混合體。由于Fermyon使用HashiCorp的Nomad，他的公司受到了HashiCorp的決定造成的動蕩的影響。Butcher告訴The New Stack (TNS)：“我們實際上最終向他們請求對某些部分的例外，因為我們運行的是Nomad的修補版本?！?/span>

但作為一家初創公司的創始人，他正在仔細觀察許可證的決定。Fermyon專注于WebAssembly，擁有開源項目和付費企業級產品。

他在十一月份的KubeCon + CloudNativeCon北美大會上告訴TNS：“我有點希望這種特殊的方法仍然非常可行，我認為它會。”“如果我們一開始就能這樣規劃，我們就不用撤回東西，而這往往會在社區中造成不信任，或者是不信任的假設。”

除了后期資本主義的需求和對基于開源工具的公司缺乏耐心的投資者之外，其他外部因素也正在給開源世界施加壓力。例如，生成式人工智能的承諾/威脅?；蛘卟粩嘧兓牡鼐壵胃窬郑瑤砹诵碌陌踩珕栴}和治理法規。

還有一個長期存在的問題是如何補償許多項目所依賴的全球成千上萬的無償志愿者維護人員。

2025年開源的未來是什么？以下是一些想法，這些想法是從去年秋季的技術會議的采訪以及對120多位行業專家的New Stack調查（于十一月份進行）中收集的，該調查詢問了開源的未來、開發人員對人工智能的使用以及IT基礎設施。

更多整合，更多許可證變更

隨著龐大的云原生生態系統整合，預計來年將出現更多“動蕩”。IBM 4月份宣布的以64億美元收購HashiCorp，預計將于2025年第一季度完成，這可能預示著一種趨勢。

Chainguard的CTO在回復TNS調查時表示，他希望IBM收購HashiCorp能夠為開源社區帶來成果?！拔矣悬c希望IBM收購Hashi后，能夠彌合Terraform和OpenTofu之間的隔閡。Elastic的類似決定逆轉已經為這方面樹立了先例。”

Elastic通過為其添加GNU Affero通用公共許可證，在8月份將Elasticsearch和Kibana轉移到開源許可。此舉是在該公司決定將這兩個項目從Apache 2.0許可證轉移出去三年后做出的。Elastic的搜索和分析引擎Elastic一直在面臨來自OpenSearch的競爭，OpenSearch是由Amazon Web Services贊助的分支。

預測許可證的未來之所以棘手，是因為開源軟件贊助商面臨的壓力并非僅僅來自一個方向；競爭可能會促使公司對開源工具采用更嚴格的許可證，或者創建一個開源版本以加快采用速度。

Asperitas云實踐負責人回復The New Stack行業專家調查時表示：“預測哪些開源項目正在轉向更嚴格的模式是高度推測性的?！?/span>

盡管如此，Wheeler仍指出Elasticsearch和Kibana是未來可能面臨新的許可壓力的一些例子。并且，基于HashiCorp的例子，他認為以下項目未來也可能面臨類似的壓力：

Hadoop，Kafka，Lucene(由Apache基金會贊助)，Kubernetes和Prometheus(由云原生計算基金會贊助)，Ansible(由Red Hat贊助)。

除了Ansible采用GNU通用公共許可證v3外，其余項目目前均采用Apache 2.0許可證。（除了Ansible之外，所有項目都位于非營利性基金會，大概免受商業利益的影響。）

相比之下，Argonaut Media總裁兼Linux基金會前編輯總監表示，“情況將相反”。

在回復TNS關于開源未來的調查問題時表示：“我認為Chrome甚至Android很可能會成為獨立管理的開源項目，而不是被Google根據反壟斷法規出售?！保?月，美國哥倫比亞特區地方法院認定該公司在在線搜索領域維持著非法壟斷地位。）

GitLab首席產品官預計，2025年將有更多以前是開源的項目轉向更嚴格的許可。但他對這一趨勢持樂觀態度。

他在11月的KubeCon上告訴The New Stack：“我認為這將開啟對開源含義的全新理解?！彼訦ashiCorp的舉動為例。

“他們一直在將Vault從非常寬松的開源許可證轉移出去，但這導致了OpenBao的出現。在GitLab，我們正在構建我們自己的原生密鑰管理器。這將產生下一輪未來的開源?！?/span>

開源AI辯論：才剛剛開始

十月，開放源代碼倡議組織（OSI）發布了其開源人工智能定義的1.0版本。OSI執行董事在發布前告訴The New Stack，1.0版是一個“謙遜”的文件，一個正在進行中的工作。

在定義發布之后，批評者對它進行了批判，抱怨說如果供應商不想透露他們的訓練數據，這個定義會給他們一些掩護，該定義從根本上改變了開源的含義，并且鑒于人工智能與軟件代碼的不同之處，OSI也許根本不應該嘗試定義開源人工智能。

“關于構成人工智能‘開源’的因素存在一場有趣的辯論，”Cosine的首席運營官在回復The New Stack的調查時說。

“Meta和谷歌剛剛被指責聲稱自己是開源的，而實際上并非如此。真正的問題是：當我們生成更多合成數據時，在哪里劃清界限？你可以公開你的數據來源，但保留你的合成數據生成過程的專有性。在透露你的數據集和透露你如何創建它之間，界限模糊不清。”

顯然，這場辯論才剛剛開始。大型企業的舉動很可能成為2025年討論的一部分。在一篇12月26日的公司博客文章中，OpenAI聲明其意圖是從盈利和非盈利結構轉變為公共利益公司——就像競爭對手Anthropic和xAI一樣——支持一個非盈利組織。

最大的收獲：人工智能及其主要參與者肯定會在2025年奪走開源泡沫中大量的氧氣。

“Solo.io的全球現場首席技術官在回復關于開源未來的調查問題時回答說：“最大的威脅可能是現有開源項目的可持續性和可維護性?！?/span>

“隨著人工智能繼續主導技術進步，人們對人工智能相關倡議的關注發生了顯著轉變。這往往導致成熟的項目，例如CNCF畢業的項目，維護人員減少，危及其長期保持健康和可持續發展的能力。”

而且，在2025年，對于不是谷歌、Meta、微軟及其同類企業的實體來說，在開源人工智能領域競爭將變得更加困難。

“Zilliz的工程副總裁在回復TNS調查時說：“對于人工智能應用來說，計算和數據至關重要，但只有谷歌或Meta這樣的巨頭才能輕松獲得數據?！?/span>

“較小的開發者群體甚至個體開發者都沒有這種優勢，因此將持續面臨尋找開源模型的挑戰?！?/span>

事實上，一些人擔心深度學習模型最終可能會超越開源開發。有人對此觀點提出反對。但威脅依然存在。

“Lightrun的產品營銷主管在其對TNS調查的回復中警告說：“GenAI工具通常是專有的，它們為開發人員提供了先進的自動化、代碼生成和可觀察性功能，這些功能在便利性和性能方面可能會超過開源替代方案。”

“與此同時，復雜的架構需要高度集成、可擴展的解決方案，而專有平臺更能提供這些解決方案。這種轉變有可能將開源項目邊緣化，特別是那些無法跟上人工智能驅動創新或分布式系統需求的項目，導致開源生態系統的采用和投資減少?！?/span>

安全和合規性問題將會增加

你可能已經注意到，世界目前并非特別平靜。而網絡攻擊者喜歡在危機中制造機會。 除了AI，另一個巨大的爭論將是安全和合規性，“OSI的Maffulli告訴The New Stack?！八呀洿嬖诹恕５?025年，鑒于地緣政治格局變得越來越復雜和錯綜復雜，它將變得更加重要。這將是一件大事?！?/span>

Apiiro的聯合創始人兼首席執行官Plotnik在回應TNS調查時指出，AI有可能增強威脅。

“到2025年，開源軟件威脅將從傳統的漏洞轉向AI生成的隱蔽后門和嵌入在開源軟件包中的惡意軟件，”Plotnik說?！半S著攻擊者利用AI工具在開源代碼中開發和偽裝惡意軟件，應對這些新的威脅將需要安全工具的重大進步，以領先于這些快速發展的挑戰。

然而，一些好消息是：到2025年，AI自動化工具或許有助于查找和修復更多未維護的開源代碼和技術債務，從而幫助堵住一些黑客的潛在入口。

“我相信，隨著AI編碼工具的普及，我們應該會看到未維護的開源組件有所減少，主要是因為即使經驗有限的開發人員也能更容易、更快地編寫一些高度細分領域的代碼，”SingleStore的首席營銷官Kumar在回應TNS調查時說。

付錢給維護者：需要更多資金和創意

幾乎每個技術棧都使用開源代碼，但是——仍然！——大多數開源維護者基本上只能獲得GitHub上的星標和親吻表情符號。

Tidelift 9月份發布的一項研究顯示，60%的受訪開源維護者表示他們沒有為自己的工作獲得報酬。（也許并非巧合的是，大約相同比例的受訪者表示他們已經退出或考慮退出他們的項目。）

這種情況——持續依賴一支由未得到報酬、未被重視的業余愛好者組成的隊伍來維護重要的代碼庫——將成為2025年開源面臨的最大威脅，包括其工具和平臺的安全性，行業專家表示。

Chainguard的Moore在回應TNS調查時說：“開源正在蓬勃發展，并且經常由人們在晚上和周末無償維護。”“隨著開源生態系統的復雜性和廣度不斷擴大，必要的更新速度呈指數級增長?！?/span>

“隨著越來越多的組織集成開源解決方案，未修補的漏洞和過時的配置的可能性增加，使企業面臨重大的安全和性能挑戰?！?/span>

Snowflake的Snowpark生態系統和開發者平臺產品總監Hollen在回復TNS調查時，評論了支付構建和維護開源項目人員的重要性。

Hollen寫道：“開源依賴于贊助商和支持者?！薄霸S多維護者和貢獻者（包括我自己）除了日常工作職責外，還參與開源項目。對開源最大的威脅是，如果重要的企業贊助商停止鼓勵、推廣和支持這些努力，以幫助貢獻者和維護者從中獲得一些價值。”

除了Tidelift等贊助商的貢獻以及大型公司將富有成效的維護者納入其工資單外，預計2025年將出現一些有創意的嘗試來補償開源開發者。

未來一年值得關注的是Chai，這是一個由Homebrew創建者Howell共同創立的分散式技術協議。Howell已經啟動了Chai，它通過包管理器數據來衡量開源的活力。

參與該項目“測試網”的參與者正在賺取代幣；在2025年的某個時候，當該項目的“主網”階段啟動時，這些代幣將在多個加密貨幣交易所推出，目的是使其具有貨幣價值。

Howell告訴The New Stack，大約有16,000個項目注冊了Chai的測試網。這只是全球1050萬個開源項目中的一小部分，但這清楚地表明，在補償開源開發者方面，對創新思維的需求非常強烈。

Hecht為這篇文章做出了貢獻。