Open Source Pledge 把维护者资助变成预算科目，超出感谢词

真实的 FOSDEM 观众照片适合这篇治理文章，因为 Open Source Pledge 最终讨论的是共享软件生态背后的人力维护层：房间、项目、依赖项，以及企业每天依赖的无偿审查工作。[7]

Open Source Pledge 的价值，在于它把一个柔性的难题推入会计级别的口径。多年来，企业一直说开源是关键基础设施，但这句话常常在账单出现之前停住。Pledge 改变了讨论单位：一家成员公司应当每年按每名全职等效开发者至少 2,000 美元 的标准，向自己选择的开源维护者或基金会付款，并且只有现金付款计入这项义务。[1]

这个规则听起来足够简单，容易被看成一句口号。它的强度高于口号。治理信号不在于又多了一个捐赠页面，而在于 Pledge 把维护者支持变成一条按员工规模反复出现的运营支出，排除流向公司自控项目的付款，要求通过公开报告实现透明，并把沉默已久的现实说清楚：开源可持续性无法靠善意、贴纸、云额度或大会掌声解决。[1][3]

截至 2026-05-21T06:33:29Z UTC，成员页面列出 36 家当前公司，并报告过去一年向维护者支付 3,690,880 美元，自启动以来累计支付 7,156,281 美元。[2] 按开发者数量看，名单中规模最大的成员是 Posit，拥有 160 名开发者，每名开发者对应 4,688 美元；Sentry 列为 132 名开发者，每名开发者 5,682 美元；Sanity 列为 73 名开发者，每名开发者正好 2,000 美元。[2] 这些数字不会把 Pledge 变成开源的完整资助模型，却让企业行为具备足够清晰的可比较性，减少对惯常无定价修辞的依赖。

关键约束是现金

Pledge 最重要的治理选择是收窄边界。它的介绍页面说，目标是让公司向自己依赖的软件维护者付款，随后划出一条硬边界，说明什么可以计入。[1] 雇用开发者从事开源工作可以产生价值。云额度可以有用。赞助活动也会帮助社区聚集。但在 Pledge 的口径中，这些都不能替代抵达维护者手中的现金。[1]

这条边界重要，是因为许多企业开源计划会混合三类不同活动：改善公司自己的开发者关系，资助中立的生态基础设施，向公司无法控制的依赖项维护者付款。三者都可以有用，但性质不同。供应商可以在自己的插件生态上投入大量预算，同时让产品内部的第三方库长期缺钱。Pledge 试图阻断这种会计转换手法，因此排除公司控制的项目，也排除只服务公司自身生态的项目。[1]

这项规则并非反对参与。同一份指引也说，代码贡献、顾问参与和董事会工作都可以作为有益补充。[1] 重点在层级关系。参与是增量，现金支持是底线。对维护者而言，这个区分属于实际资源问题。它会影响一个人能否为发布卫生、issue 分流、安全响应、文档，以及那些不会带来发布博文的兼容性杂务安排时间。

为什么是现在

Pledge 于 October 8, 2024 正式启动，而在此之前，Sentry 已经运行内部资助计划数年。[3] David Cramer 的启动文章把这个计划放在两个运营目标之下：直接向维护者付款，并在公司成长过程中持续这样做。[3] 第二个分句很容易被忽略。一次性资助可以救下一次发布，或缓和一个糟糕季度，但它不会改变公司为依赖项健康编预算的方式。按开发者人数计算的公式会改变这一点。

更大的时间背景也与证据相符。Tidelift 的 2024 年维护者调查显示，60% 的维护者仍把自己描述为无薪爱好者；相比无薪维护者，付费维护者平均更有 55% 的概率实施关键安全与维护实践。[4] 同一份发布列出了具体差距：付费维护者在双因素认证、静态代码分析、漏洞响应、披露计划、签名发布、同行审查、依赖管理和可复现构建实践上的采用率更高。[4]

这并不表示现金会自动产生健康维护。它表示无薪维护存在可预期的上限。安全工作、兼容性测试、发布签名、文档和 issue 响应，都要同有薪工作、家庭时间和耗竭竞争。企业把这些任务当作免费的外部性时，随后看到工作延迟、不均衡，甚至没有发生，也就属于结构后果。

Pledge 是治理原语，采购逻辑放在后面

理解 Pledge 的最清晰方式，是把它看作面向中小公司的治理原语。采购需要供应商、SLA、支持队列和合同救济。Pledge 没有承诺这些内容。它甚至强调，主要意图是无附加条件的付款。[1] 因而，它更像是把过去推给志愿者的依赖成本内部化，购买支持服务这条逻辑退到后面。

这也是这个模型对一类公司特别有意思的原因：它们规模还小，无法运行基金会级别的开源办公室，但已经大到知道自己的依赖图很重要。一家拥有 5 名开发者的公司，可以理解每年 10,000 美元 的承诺，而不用发明一个新部门。GitButler 的公开报告就是一个好例子：它把 5 名全职开发者映射为 10,000 美元 的年度 pledge，并披露付款去向，包括向 Tauri 支付 6,000 美元、向 Svelte 支付 3,000 美元。[6] 这套依赖影响模型仍有粗糙之处，却提供了一个公开、可审计的起点。

同样的简单性也是限制。一个固定的开发者人均数字，不会知道一家公司究竟重度依赖密码学、打包、数据库、UI 框架、CI 工具，还是语言运行时。它也不会自动解决哪些维护者应当收款、资助应当通过个人还是基金会，以及如何在关键但隐形的依赖项和高知名度项目之间取得平衡。Pledge 通过透明的年度报告和直接判断处理这部分问题，中央基金分配退居次要位置。[1][6]

难点在于选择

一旦公司接受了按人数计算的公式，下一个治理问题就是选择收款对象。依赖图是一项输入，不能充当道德算法。被导入次数最多的包，资金缺口未必最大。最可见的维护者，未必承担风险最高的工作。基金会可以提供有用的连续性，但未必直接向个人维护者付款。直接向维护者付款效率较高，同时也会给双方带来税务、法律或利益冲突方面的顾虑。

Pledge 的资格规则通过收窄明显滥用来提供帮助：付款应当流向符合 Open Source Definition 的项目，公司控制的项目不在范围内；GitHub Sponsors、Open Collective、thanks.dev 和 ecosyste.ms Funds 这类普通平台，只有在底层付款符合标准时才是可接受渠道。[1] 即便如此，选择问题仍然是真实的运营任务。一份好的年度报告应当说明收款对象，也应当说明为什么选择这些项目。

也正是在这里，Pledge 即使在美元总额变得庞大之前，也能改善企业开源实践。它促使公司盘点自己的依赖暴露，把维护者当作交易相对方来讨论，使他们脱离背景布的位置，并判断自己现有的“开源支持”支出是否真的抵达了维护其出货软件的人。TechCrunch 2024 年对资助工作的调查，把 Pledge 与 FOSS 基金、奖学金和 VC 支持的赠款等其他无股权路径放在一起；共同线索是，被广泛使用的项目常常创造价值，却没有一个显眼的公司主体站在背后。[5]

什么能证明它在起作用

最强的成功信号会体现在可重复的报告质量上，logo 墙规模只能排在后面。成熟的成员报告应当说明开发者人数口径、pledge 总额、收款方列表、付款渠道、与收款方的任何关系，以及选择方法。它还应当把自控生态支出与合格维护者付款分开。这样，维护者和用户才能评估公司是在为依赖项健康付款，还是仅仅给营销支出换了标签。

第二个成功信号是收款方多样性。如果资金只集中在已经成名的框架上，Pledge 仍会产生帮助，但会错过大量脆弱的基础设施层。最好的报告会把可见项目与不那么耀眼的库、发布工具、打包基础设施、文档系统、安全响应工作，以及能够证明资金流向维护工作的基金会组合起来。

第三个信号是习惯形成。加入一次随后消失的公司，完成的是一次捐赠。每年发布报告的公司，建立的是一条治理回路。按开发者人数计算的公式有价值，因为它会随工程人员规模增长，并避开每年围绕开源是否配得上一条自由裁量预算线展开的戏剧性争论。[1][3]

边界条件

Open Source Pledge 不应被视为开源可持续性的最终答案。它没有取代付费支持合同、安全审计、基金会预算、公共利益资助、维护者雇佣，或更强的贡献者规范。它也不能强制每一家受益公司参与。Pledge 的范围更窄：它给公司提供一个公开、可衡量、基于现金的最低标准，用来向自家边界之外的维护者付款。[1][2]

这种收窄正是它重要的原因。开源治理常常被夹在道德语言和采购语言之间。Pledge 创造了第三条路径：它离开慈善框架和供应商合同框架，为公司已经使用的基础设施提供经常性付款。如果有足够多公司采用这条路径，最重要的变化会发生在文化层面。“我们依赖开源”不再只是主题演讲的收尾句，而会成为一个可以被审计的预算问题。[2][5]

cronfeed.work