Analisis baru tentang perangkat lunak open source mengungkap realitas yang mengejutkan: sebagian besar infrastruktur digital dunia bergantung pada pengembang individual yang bekerja sendirian. Meskipun perangkat lunak open source memiliki nilai ekonomi yang diperkirakan mencapai 8,8 triliun dolar Amerika Serikat menurut penelitian Harvard, sebagian besar proyek dikelola hanya oleh satu orang.
Dampak Ekonomi:
- Nilai estimasi perangkat lunak sumber terbuka menurut Harvard : $8,8 triliun USD
- Sebagian besar nilai diciptakan oleh pengelola individu
- Mayoritas pengelola menerima sedikit atau bahkan tidak ada kompensasi
Skala Proyek Satu Orang
Data dari ecosyste.ms, yang melacak 11,8 juta proyek open source, menunjukkan bahwa sekitar 7 juta proyek hanya memiliki satu pengelola. Angka ini menjadi lebih signifikan ketika mempertimbangkan bahwa 4 juta proyek memiliki jumlah pengelola yang tidak diketahui, yang kemungkinan besar juga merupakan upaya satu orang. Pola ini berlaku bahkan untuk paket perangkat lunak paling populer yang diandalkan jutaan pengembang setiap hari.
Melihat secara khusus ekosistem NPM, yang menyediakan data terkaya untuk analisis, angka-angkanya sangat mengejutkan. Di antara 13.000 paket NPM yang paling banyak diunduh (yang memiliki lebih dari 1 juta unduhan per bulan), hampir setengahnya dikelola oleh satu orang. Pembagian 50-50 antara proyek dengan pengelola tunggal dan multiple ini bertahan di berbagai ambang batas unduhan, hanya berubah ketika memeriksa paket dengan lebih dari 1 miliar unduhan.
Statistik Proyek Open Source:
- Total proyek yang dilacak: 11,8 juta
- Proyek dengan satu maintainer: ~7 juta (59%)
- Proyek dengan jumlah maintainer tidak diketahui: 4 juta
- Proyek NPM satu orang: 4+ juta
- Maintainer NPM unik: ~900.000
- Paket populer (1 juta+ unduhan/bulan): 13.000
- Pembagian maintainer tunggal vs. multiple: ~50/50
Realitas Terlalu Banyak Bekerja dan Kurang Dibayar
Diskusi komunitas mengungkap kekhawatiran mendalam tentang keberlanjutan model ini. Banyak pengembang menunjuk pada contoh historis seperti kerentanan Heartbleed, di mana cacat keamanan kritis ada di OpenSSL - perangkat lunak yang dikelola oleh tim yang kurang didanai namun menggerakkan sebagian besar enkripsi internet. Pola ini berulang di seluruh ekosistem: infrastruktur penting yang dibangun dan dikelola oleh sukarelawan yang menerima sedikit atau tidak ada kompensasi untuk pekerjaan mereka.
Open source, hal yang menggerakkan dunia, hal yang menurut Harvard memiliki nilai ekonomi 8,8 triliun dolar. Sebagian besarnya adalah satu orang. Dan saya dapat menjamin bahwa tidak satu pun dari proyek satu orang tersebut memiliki jumlah sumber daya yang tepat yang mereka butuhkan.
Data menunjukkan bahwa meskipun NPM memiliki lebih dari 4 juta proyek satu orang, ini dikelola hanya oleh sekitar 900.000 individu - yang berarti banyak pengembang menangani beberapa proyek secara bersamaan.
Risiko Rantai Pasokan dan Kekhawatiran Geopolitik
Diskusi terbaru telah berfokus pada kewarganegaraan pengelola, terutama setelah laporan tentang ketergantungan Departemen Pertahanan pada perangkat lunak yang ditulis oleh pengembang dari berbagai negara. Namun, komunitas berpendapat bahwa fokus pada geografi melewatkan masalah sebenarnya. Risiko utama bukanlah di mana pengembang tinggal, tetapi kerentanan yang melekat karena infrastruktur kritis bergantung pada individu yang terlalu banyak bekerja dan kurang sumber daya.
Faktor bus - apa yang terjadi ketika pengelola tunggal menjadi tidak tersedia - menyajikan kekhawatiran yang lebih langsung daripada pertimbangan geopolitik. Ketika pengelola meninggalkan proyek, kewalahan, atau hanya beralih ke minat lain, perangkat lunak yang mereka bangun dapat menjadi kewajiban keamanan atau hanya berhenti bekerja dengan sistem yang lebih baru.
Apa yang Terjadi Ketika Pengelola Menghilang
Anggota komunitas berbagi berbagai hasil ketika pengelola tunggal mundur dari proyek. Kadang-kadang pengembang lain melakukan fork pada proyek dan mengambil alih pemeliharaan. Di lain waktu, proyek-proyek pesaing muncul untuk mengisi celah tersebut. Dalam beberapa kasus, pengelola asli menyerahkan tanggung jawab kepada orang lain. Namun, banyak proyek hanya menjadi terbengkalai, menciptakan potensi kerentanan keamanan dan masalah kompatibilitas dari waktu ke waktu.
Tantangan ini meluas melampaui hanya menemukan pengelola pengganti. Bahkan perangkat lunak yang sudah selesai memerlukan perhatian berkelanjutan karena dependensi berubah, kerentanan keamanan muncul, dan sistem yang mendasari berkembang. Paket yang bekerja sempurna selama bertahun-tahun dapat tiba-tiba rusak ketika versi baru Python atau Node.js dirilis.
Strategi Mitigasi Risiko:
- Vendoring: Menyalin kode dependensi langsung ke dalam proyek
- Lock files: Menggunakan file kunci dependensi dengan checksum kriptografi
- Mirroring: Memelihara salinan lokal dari dependensi kritis
- Forking: Membuat salinan independen ketika maintainer menghilang
- Code review: Menerapkan proses tinjauan menyeluruh untuk dependensi
Jalan ke Depan
Meskipun tidak ada solusi mudah untuk tantangan mendasar ini, komunitas menekankan beberapa pendekatan. Beberapa pengembang mengadvokasi untuk vendoring dependensi - menyalin kode aktual ke dalam proyek daripada mengandalkan paket eksternal. Yang lain menyarankan manajemen dependensi yang lebih baik melalui lock files dan content-addressing checksums untuk memastikan build yang dapat direproduksi.
Diskusi ini menyoroti ketegangan yang lebih luas dalam pengembangan perangkat lunak modern. Kemudahan mengimpor puluhan paket dan library telah menciptakan jaringan dependensi yang kompleks yang sedikit dipahami sepenuhnya oleh pengembang. Pendekatan ini, meskipun memungkinkan pengembangan yang cepat, menciptakan risiko sistemik ketika komponen kritis dikelola oleh individu tunggal tanpa sumber daya atau dukungan yang memadai.
Komunitas open source terus bergulat dengan cara menyeimbangkan semangat kolaboratif yang membuat proyek-proyek ini mungkin dengan kebutuhan akan infrastruktur perangkat lunak yang berkelanjutan dan aman yang menggerakkan dunia modern.
Referensi: Open Source is one person