I juni 2022 skrev Lasse Collin, ensam underhållare av xz utils, ett kort inlägg om sitt projekt:
“I haven’t lost interest but my ability to care has been fairly limited mostly due to longterm mental health issues.”
Det var ingen dramatisk avskedspost. Det var en förklaring. Collin ville bara säga att han inte orkat som vanligt. Tretton månader senare hade en aktör som kallade sig Jia Tan, efter att i två år metodiskt byggt förtroende i projektet, planterat en bakdörr i xz utils med CVSS-poängen 10.0 — den maximala svårighetsnivån. Bakdörren riktade sig mot OpenSSH och hade potentiellt gett någon, troligen en statsaktör kopplad till rysk underrättelsetjänst, obegränsad fjärråtkomst till miljontals Linux-servrar världen över.
Det är den direkta kopplingen. Open source burnout hos en enskild maintainer skapade ett vakuum. Vakuumet fylldes av en fiende.
Vad är en open source maintainer egentligen?
Maintainern är personen som håller ett projekt vid liv. Det innebär att granska andras kod, stänga säkerhetsluckor, hantera buggrapporter, svara på frågor, uppdatera dokumentation och ta beslut om projektets riktning. Det är ett heltidsarbete som i de flesta fall utförs på kvällar och helger, utan ersättning, av en person som egentligen har ett annat jobb. Den som drabbas av burnout är ingen svag länk — det är en oavlönad solo maintainer utan avbytare.
Tidelifts State of the Open Source Maintainer Report 2024 visar att 60% av världens open source maintainers arbetar utan ekonomisk ersättning. Siffran har inte rört sig på ett år. 61% av de obetalda underhåller sina projekt ensamma — utan backup, utan rotation, utan avlösare.
Ensam vid tangentbordet
Uppskattningsvis 1,4 miljoner unika maintainers finns globalt. Men bara ~10 000 av dem underhåller de paket som bär upp 80% av hela open source-ekosystemets användning — de delar som utgör verklig critical infrastructure för internet. Det är en extrem koncentration av ansvar. När en av dessa 10 000 inte orkar mer finns det ingen kö av frivilliga som tar över.
“Why haven’t you merged/fixed this? This project is dead. No, I have debts, a full-time job, a family…” — ett citat som cirkulerat som det kanske mest träffsäkra sammanfattningen av maintainer-verkligheten.
Tre incidenter som borde ha ändrat allt, men inte gjorde det
Heartbleed 2014. Log4j 2021. xz utils 2024. Tre separata tillfällen, tio år, samma grundproblem: critical infrastructure underhållen av unpaid volunteers utan funding.
OpenSSL och 2 000 dollar om året
Heartbleed (CVE-2014-0160, april 2014) var en kodmiss i OpenSSL som exponerade minne på webbservrar i realtid. Vid tidpunkten för avslöjandet körde 66% av alla webbservrar i världen OpenSSL. Projektet hade en budget på 2 000 dollar per år i donationer och var bemannat med en heltidsutvecklare: Stephen Henson.
Det var alltså en person, delvis finansierad av en tusenlapp i månaden, som hade hand om krypteringsinfrastrukturen för en majoritet av webben. Reaktionen var riktig: Core Infrastructure Initiative startades, OpenSSL fick äntligen betalda utvecklare. Men det tog en global katastrofinsats för att nå den slutsatsen.
Log4j och åtta frivilliga
I november 2021 offentliggjordes CVE-2021-44228, Log4Shell. Vulnerability:en i Java-loggningsramverket log4j hade legat orörd sedan 2013 och möjliggjorde godtycklig kodexekvering på miljontals servrar. Åtta frivilliga underhöll projektet som unpaid volunteers. Ingen av dem var betald.
Den amerikanska regeringen kallade till Vita huset-möte om security i open source-infrastruktur. Inga strukturella förändringar följde.
xz utils och den tvååriga operationen
xz utils är ett komprimeringsbibliotek som finns på de flesta Linux-distributioner. Lasse Collin hade skapat och underhållit det som solo maintainer, utan betalning, sedan projektets start. Från 2021 began en ny bidragsgivare, Jia Tan, att systematiskt bygga trovärdighet i projektet — lösa issues, skriva kod, skapa relationer. En klassisk supply chain attack: infiltrera underifrån. 2024 fick Jia Tan commit-access.
Backdoor:en som planterades aktiverades bara på specifika x86-64-Linux-system med glibc och GCC. Den gömdes inte i källkoden utan i binärfiler i tar-arkiv utanför git-repot. Den hade aldrig hittats om inte Microsoft-ingenjören Andres Freund råkat märka att SSH-inloggningar på hans Debian-maskin tog 500 millisekunder längre än normalt.
CVE-2024-3094 fick CVSS 10.0. Det är inte ett tal som delas ut slentrianmässigt. Andres Freund hittade det av en slump — en supply chain vulnerability med maximal allvarlighetsgrad, planterad i ett projekt vars maintainer var utbränd.
Big Tech åker snålskjuts — och det är inte ett misstag
95% av enterprise-mjukvara bygger på open source. Det är inte ett påstående från en aktivist — det är ett tal som Microsoft, Google och AWS alla vet om och agerar utifrån. Det är free-riding — free rider-beteende — i industriell skala, och det är ett affärsbeslut, inte ett förbiseende.
Tidelifts siffror är precisa: 300 miljoner företag drar nytta av open source-kod. 4 200 av dem deltar i GitHub Sponsors. Det är 0,0014% sponsringsgrad. Oddsen är inte ogynnsamma — de är statspolitiskt gisslanliknande. Den absoluta majoriteten av de bolag som bygger sina produkter, tjänster och molnplattformar på gratis arbete bidrar ingenting.
300 miljoner användare, 4 200 sponsorer
Open Source Pledge har satt ett minimum: 2 000 dollar per år per intern utvecklare för att kvalificera sig som bidragande bolag. Sentry, som faktiskt betalar, bidrar med 5 813 dollar per anställd utvecklare, totalt ungefär 750 000 dollar per år. Spotify: 100 000 euro. Bloomberg: 20 000–30 000 dollar per kvartal.
Det är undantag, inte norm.
Microsoft stoppade gratis Azure — och lämnade räkningen
Den 1 september 2025 avslutade Microsoft Azure Sponsored Subscriptions. Tusentals open source maintainers som fått gratis molninfrastruktur för att testa och distribuera sina projekt fick plötsliga månadsfakturor. Microsoft finansierar nu bara “strategiska” projekt. Resten fick lösa det själva.
Betalda maintainers löser security vulnerabilities 45% snabbare än obetalda. De har 50% färre totala säkerhetsluckor. De är 55% mer benägna att implementera kritiska security practices. Den siffran är inte en korrelation — det är infrastrukturekonomens grundlogik: resurser ger kapacitet.
core-js, faker.js och nginx — tre reaktioner på samma system
Open source maintainer burnout yttrar sig på olika sätt. Denis Pushkarev (zloirock) höll ut. Marak Squires exploderade. Maxim Dounin gick vidare. Alla tre reagerade på ett system där critical software underhålls utan betalt och utan security-resurser.
Denis Pushkarev: 9 miljarder nedladdningar, $57 i månaden
core-js är ett JavaScript-polyfill-bibliotek som laddas ner 43 miljoner gånger i veckan och används på mer än hälften av internets 10 000 mest besökta webbplatser. Det finns i produktionsmiljöer hos Apple och förmodligen varje startupbolag du kan namnge.
Denis Pushkarev underhåller det ensam, som unpaid solo maintainer, utan backing från företag. 2020 fängslades han i Ryssland efter en dödsolycka med motorcykel. Under fängelsetiden föll hans donations. När han kampanjade för funding landade resultatet på 57 dollar i månaden.
“Free open source software is fundamentally broken”, skrev han i ett inlägg 2023.
Hans nuvarande donationsnivå ligger på ungefär 400 dollar i månaden. Det är inte ens ett bra frilanshonorar för en dag.
Marak Squires saboterade sina egna bibliotek
I november 2020 skrev colors.js- och faker.js-skaparen Marak Squires att han inte längre avsåg stödja Fortune 500-bolag med sin gratisarbete: “Take this as an opportunity to send me a six figure yearly contract or fork the project.”
Ingen betalade. I januari 2022 publicerade han uppdateringar till colors.js och faker.js som bröt tusentals beroende projekt. colors.js fick en oändlig loop som spottade ut “LIBERTY LIBERTY LIBERTY”. faker.js publicerades som version 6.6.6. GitHub stängde hans konto.
colors.js hade 23 miljoner veckonedladdningar. faker.js hade 2,5 miljoner.
Marak kallas ofta för en sabotör. Det är en tolkning. En annan är att han var den förste som var tillräckligt arg för att säga det högt.
Maxim Dounin: “free from arbitrary corporate actions”
I februari 2024 forkade Maxim Dounin, en av nginxs kärnutvecklare sedan projektets tidiga dagar, projektet till freenginx. Anledningen var att F5 — bolaget som köpte nginx Inc. 2019 för 670 miljoner dollar — börjat lägga sig i säkerhetspolicyer mot utvecklarteamets vilja.
“Run by developers, and not corporate entities, free from arbitrary corporate actions”, skriver Dounin om freenginx.
Igor Sysoev, nginxs skapare, hade lämnat F5 i januari 2022. Nu gick Dounin. Vad som var ett open source-projekt hade blivit ett corporate asset.
EU Cyber Resilience Act pressar utan att betala
Den 11 december 2024 trädde EU:s Cyber Resilience Act i kraft. Från den 11 september 2026 börjar rapporteringsskyldigheterna gälla. Från den 11 december 2027 gäller alla krav fullt ut.
Lagen är inte designad för att skada open source maintainers, men den riskerar att göra det ändå — i synnerhet de som underhåller software som ingår i kommersiella produkter utan att veta om det.
Vad CRA kräver av dig som maintainer
Om din kod ingår i en kommersiell produkt — om någon annan säljer något som bygger på din gratiskod — kan du dras in i juridisk process. Om du dessutom tjänar vinst på projektet: full rapporteringsskyldighet. Aktivt utnyttjade säkerhetsluckor i din kod måste rapporteras till ENISA och nationella CSIRT-myndigheter inom 24 timmar från det att du blivit medveten om dem.
CRA introducerar begreppet “open source steward” — stiftelser och nonprofit-organisationer med begränsade men faktiska skyldigheter. Det är en juridisk nyhet, inte en lösning på finansieringsproblemet.
Osäkerheten driver avpublicering
Den mest omedelbara konsekvensen är inte juridisk — det är psykologisk. Osäkerheten om vad “kommersiell aktivitet” egentligen innebär driver maintainers att avpublicera projekt, ändra licenser eller undvika att bygga alls. Hector Martin slutade som Asahi Linux-projektledare 2025 och nämnde det ökande trycket som en av faktorerna — toxiska krav, juridisk osäkerhet, ingen ersättning.
Post-xz-incidenten litar 66% av maintainers nu mindre på externa pull requests. 37% granskar co-maintainer-bidrag hårdare. Det är rimliga reaktioner, men det är reaktioner som gör projektunderhåll ännu tyngre, ännu mer tidskrävande.
Vad som faktiskt fungerar — och vad som inte gör det
GitHub Sponsors och OpenCollective löser inte det strukturella problemet. Det är frivillighetssystem i en värld där frivillighet och donationer inte producerat resultat på tio år. Burnout bland maintainers är inte ett individuellt misslyckande — det är resultatet av att behandla volunteer-driven infrastructure som om den vore gratis för alltid.
Core Infrastructure Initiative, som startades direkt efter Heartbleed 2014, fungerade: OpenSSL fick betalda heltidsutvecklare och ett genomlyst säkerhetsarbete. Modellen är klar. Tillräckliga resurser till rätt projekt ger mätbara resultat: 45% snabbare sårbarhetslösning, 50% färre totala säkerhetshål.
Betalda maintainers är säkrare: siffrorna talar
Tidelifts data är entydiga. Paid maintainers spenderar 13% av sin tid på security-arbete. Unpaid maintainers: 10%. Skillnaden låter liten men slår igenom i utfall. Kubernetes Ingress NGINX, ett av plattformens populäraste komponenter, pensionerades i november 2025 — inte för att det var föråldrat utan för att maintainers inte orkade längre. Inga säkerhetspatchar planeras efter mars 2026.
Varför “donera till open source” är fel ram
Open source är inte välgörenhet. Det är kritisk software-infrastruktur. El, vatten och internetprotokoll finansieras inte med frivilliga donations och ett Patreon-konto. Sustainability för open source kräver strukturell funding, inte välgörenhet.
HeroDevs Sustainability Fund har 20 miljoner dollar tillgängliga för projekt i ekonomisk kris. Open Source Pledge sätter ett minimum på 2 000 dollar per år per intern utvecklare. Det är rätt riktning. Men ingenstans i dessa modeller finns ett svar på grundfrågan: varför ska enskilda maintainers bära juridisk risk, emotionell press och säkerhetsansvar för infrastruktur som Microsoft, Google och AWS tjänar miljarder på?
“Money doesn’t write code, review pull requests, or manage releases”, konstaterade External Secrets Operators maintainers när de frös alla uppdateringar i november 2025. Fyra av fem underhållare var utbrända. En var kvar.
Det är inte en anomali. Det är ett mönster.
