全世界 90% 的軟體都跑在開源上，但開源的人快撐不下去了

TL;DR

• 哈佛商學院估算開源軟體的需求面價值有 8.8 兆美元，全球 90% 以上的生產環境軟體都來自開源
• 但很多核心套件還是一兩個人在維護，企業大量「抽水」卻很少回饋
• 經典 XKCD 那張「整座大樓靠內布拉斯加一個工程師撐著」的圖，社群正在嘗試從「危樓」改寫成「磚牆」的敘事
• Code of Conduct、Governance 比 License 更難複製，但它們才是社群能不能撐過十年的關鍵
• Open Source Pledge 倡議企業每個工程師每年捐 $2,000 給開源，但根本問題是「贊助開源」在會計帳上根本找不到對應科目
• AI 給開源帶來 slop（垃圾 PR）也帶來加速，Octoverse 報告顯示 TypeScript 超車 Python，主因是 type system 對 AI 更友善
• 維護者正在「灰化」，下一代為什麼還會進來，沒人有答案

Podcast 背景

這集在 2026 年 5 月 14 日上線的 Software Engineering Daily，由獨立開源開發者 Josh Goldberg 主持，他是 typescript-eslint 的核心維護者、O'Reilly《Learning TypeScript》作者，也是 SquiggleConf 的共同創辦人，現在在 Sentry 當 frontend engineer。SED 是矽谷工程圈聽了十幾年的老牌 podcast，主題基本上鎖死在「工程師日常會用到、但講起來會讓人睡著」的硬技術內容。

來賓兩位都是開源圈的老面孔。Abby Cabunoc Mayes 現在在 GitHub 帶開源維護者計畫，之前在 Mozilla Open Leaders 帶過六百多個全球開源專案，目前也是 OpenJS Foundation 董事和 SustainOSS 的組織者。Brian Muenzenmeyer 是 Node.js 官方網站的維護者，去年出了《Approachable Open Source》這本書，內容是他十幾年踩坑的整理。三個人坐下來聊的，是一個一般人完全沒感覺、但全世界軟體業每天都在依賴的議題：開源到底還撐得下去嗎？

一張 XKCD 怎麼變成整個產業的精神創傷

如果你在開源圈打滾超過三年，大概看過那張 XKCD：所有現代基礎設施像危樓一樣堆在彼此頭上，最底下有一條很細的木棍寫著「某個內布拉斯加的人從 2003 年開始默默維護的 side project」。這張圖被引用到變成迷因，甚至有人去刺青。

Brian 在 All Things Open 大會上做了一件很反骨的事，他直接畫了一張新圖去打臉這個敘事。他說，如果你把鏡頭拉遠看整個生態，那些「危險的小木棍」其實不是孤立的，每次有套件出事，社群幾乎都會有人補上來。所以開源不是危樓，更像一面磚牆，每一塊磚單獨看都不重，但組合起來韌性十足。

Wilson 看到這段眼睛一亮。我們在 crypto 圈寫了無數篇「DeFi 太脆弱」「智能合約風險」的文章，邏輯其實一樣，當你只看單點所有東西都很脆，但看整個生態反而會發現它有自癒能力。之前在Aave 一夜被打掉兩億八千萬美金那篇也聊過類似的邏輯。

但 Abby 補了一個更尖的觀察：「會不會我們其實在等東西壞掉才動手修？我們可以在 Jenga 倒下來之前就加固，但沒有人這麼做。」

這就是開源的核心矛盾。技術上是磚牆，文化上是火災現場救火隊。

真正撐起一個專案的，是那四個檔案

Brian 書裡有一章叫《任何開源專案的四個檔案》，刻意放在第四章。這四個檔案是：

檔案	為什麼重要
README	整個專案的大門，新人第一眼看的東西
LICENSE	法律定義，你授權別人怎麼用
CHANGELOG	使用者知道什麼時候、為什麼東西改了
CODE_OF_CONDUCT	把「我們這群人怎麼相處」寫成文件

前三個比較像是工程文件，但 Code of Conduct 才是現代開源最容易被忽略、也最關鍵的一環。Brian 講得很直白：「不是每個人對什麼叫合理行為都有共識，沒有預先寫下來，社群崩盤只是時間問題。」

Abby 補了一個我覺得超有畫面感的觀察：網路時代要拉一個社群非常容易，喊一聲就有人來，但這種社群通常撐不過第一次內鬨。她舉了 March for Science，當下幾百萬人上街，現在誰還記得？開源圈最常見的劇本就是「興奮、fork、解散」，差別只在花多久時間走完這個循環。

Code of Conduct 加上 Governance 加上 Incident Response Plan 三件套，本質上就是社群的「韌性協議」。平常看起來都是 overhead，真出事才知道值多少錢。

開源在公司裡的灰色地帶

這集最戳到我的數字：哈佛商學院估算開源軟體的需求面價值是 8.8 兆美元，全球 90% 以上的生產環境軟體都用了開源套件。但企業的態度大多是：拿來用，不回饋。

Brian 把這個情境比喻成抽地下水。如果你開了一家瓶裝水工廠每天從含水層抽水，總不能完全不回補吧？問題是企業會計帳上根本沒有「贊助開源」這個科目。Brian 提到 Chad Whitaker 跑 Open Source Pledge 倡議的時候，找會計師聊過怎麼把開源贊助記到帳上，會計師完全傻眼，因為傳統商業語言裡找不到對應的概念。

Open Source Pledge 的玩法是：公司承諾每個工程師每年至少捐 $2,000 美元給開源專案。聽起來不多，但對一家 500 人工程團隊的公司來說就是一年一百萬美元。已經有不少公司簽了，但 Wilson 覺得這個模式有個根本問題，它是訴諸利他主義，而不是商業誘因。一家公司贊助 Kubernetes 100 萬，對 Kubernetes 整個專案來說微不足道；公司自己也得不到什麼可量化的好處。這就是經典的 tragedy of the commons。

Brian 提了一個更務實的方向：把贊助開源重新包裝成「風險管理」。如果你的公司靠 Kubernetes 跑核心業務，那 Kubernetes 健康度下降直接等於你的業務風險上升。這個語言 CTO 和 CISO 聽得懂。GitHub Secure Open Source Fund 之所以能從很多大公司拉到錢，就是因為它打的是資安預算，不是 CSR 預算。一個科目，一個敘事，募款結果差十倍。

AI 來了，開源是被加速還是被淹沒？

兩位都承認 AI 對開源的影響是雙刃劍。負面那邊就是 AI slop（垃圾 PR）：大量品質很差的 PR、自動生成的 issue、「我修了你的 bug」其實根本沒修。Brian 自己也是受害者，但他同時舉了一個正面例子：他用 GitHub Copilot agent 處理一個 feature request，11 分鐘 agent 把 code、tests、README、環境變數全部更新完，他自己根本寫不出這個速度。

Abby 提到 GitHub Octoverse 報告今年的大新聞：TypeScript 第一次超車 Python，分析師認為主因是 AI 在 type system 上表現更好。換句話說，當你的程式碼對 AI 友善（型別清楚、文件齊全），人類維護起來也更順。這跟之前在OpenAI 工程師的 Harness Engineering 實戰那篇講的概念是同一個道理，人類在幫 AI 整理 context 的同時，也順手把自己的工程習慣升級了。

但 Abby 點出一個讓我有點背脊發涼的問題：「下一代維護者會從哪裡來？」她說現在開源圈有個「灰化」現象，老的維護者愈來愈老，年輕人沒進來。如果新一代 junior 開發者從一開始就靠 AI 寫 code，他們會不會根本沒機會建立讀 source code、改別人程式碼這種能力？

這個跟 MIT 經濟學家講的 Missing Junior Loop 是同一件事的不同切面。當 AI 接走了所有 junior 等級的任務，junior 怎麼長成 senior？開源圈的版本是：當 AI 接走了所有 good first issue，誰來接班當下一代的核心維護者？

Pace Layers：每個人都能找到自己的節奏

Brian 在訪談最後拋出一個我很喜歡的框架，叫做 Pace Layers，是設計師 Stuart Brand 提出的概念，原本用來描述文明的不同層次：自然、文化、治理、基礎建設、商業、時尚，從最慢到最快。每一層都在動，但動的速度差好幾個數量級。

套用到開源生態，意思是：

• 最快層：新框架、新 runtime、新玩具（每三個月就一波，例如現在的 AI Agent 生態）
• 中間層：成熟工具、生態系標準
• 最慢層：協議、規範、語言核心（十年才動一次）

每一層都需要有人在做事，重點是你要找到「跟自己節奏對的那一層」。如果你愛玩新東西就去最快層，如果你愛思考長期穩定的問題就往慢層走。沒有誰比較高貴，但也沒有誰可以靠一個人撐起整面磚牆。

這個觀點對 Wilson 來說很實用，因為產業裡太多人在 AI 浪潮裡焦慮自己跟不上。其實你不用都跟，找到你那一層待住就夠了。我自己寫部落格基本上就是想當「中間層」的那個人，把 podcast 上那些跑得太快的內容，沉澱成可以重複看的筆記。

最後一個雞湯：開源跟 karaoke 一樣

Abby 在訪談結尾講了一個我覺得超對的話。她說她最愛 karaoke，因為唱歌可以讓平常 director、author、CTO 級的人物願意露出傻氣的一面，整個 trust 就會建立起來。她說：「That's how you build trust by just showing a little bit of your personality.」

開源能撐到今天，不是靠 license 條文寫得多嚴謹。真正撐住整個生態的，是一群素昧平生的人願意在 issue 區耐心回覆陌生人的笨問題。這件事 AI 學不會，因為這不是任務，是文化。

回到開頭那個問題：開源還撐得下去嗎？我的答案是，只要還有人願意在 SquiggleConf 後一起去唱 Backstreet Boys，就撐得下去。

---

這類產業底層的觀察我會持續寫，訂閱 wilsonhuang.xyz 就不會漏掉。