Konstantin Vinogradov 26. února 2026 veřejně spustil Open Source Endowment, americkou neziskovou organizaci pro dlouhodobé financování kritických open-source projektů. Model vychází z univerzitních nadačních fondů: dary tvoří trvalou jistinu, granty správcům jdou jen z investičního výnosu. Zajímavější než samotné oznámení je mechanismus, protože míří na jiný problém než GitHub Sponsors, OpenSSF nebo evropské grantové programy.
Vznikl v Delaware, veřejně vystoupil až letos
Open Source Endowment Foundation je americká nezisková organizace se statusem 501©(3), založená podle práva státu Delaware. Web organizace zveřejňuje stanovy, počáteční usnesení rady, listinu o založení, rozhodnutí o daňovém statusu i zápisy z jednání. U podobné iniciativy je to dobrý začátek, protože financování open source má za sebou dost příkladů, kde „mrštný jazyk“ předběhl správu peněz.
Přesné datum je potřeba číst opatrně. FAQ organizace uvádí začlenění 14. února 2025. Vinogradovův zakládací text mluví o veřejném spuštění 26. února 2026. V únoru 2026 tedy nevznikla právnická osoba, ale projekt se po roce příprav a získání daňového statusu představil veřejnosti. Fond měl v tu chvíli zhruba 700 tisíc dolarů od více než šedesáti zakládajících dárců, včetně lidí spojených s HashiCorpem, Elasticem, ClickHouse, Supabase, Nginxem, Vue.js, Pandas, Pydanticem a projektem curl.
Zakladatel není náhodný člověk, který si všiml, že se na GitHubu špatně žebrá. Konstantin Vinogradov je investor zaměřený na open source, umělou inteligenci a infrastrukturní software, dříve působil jako generální partner v Runa Capital a vytvořil ROSS Index, datový index open source startupů. V radě OSE jsou tři lidé: Vinogradov jako předseda, Chad Whitacre ze Sentry jako tajemník a Maxim Konovalov, spoluzakladatel Nginxu, jako pokladník.
Jistina se neutratí, granty půjdou z výnosu
Technická podstata OSE neleží v tom, že chce rozdávat peníze. Takových pokusů bylo v open source dost. Podstatné je oddělení jistiny a ročního výnosu. OSE chce dary shromažďovat v trvalém fondu, investovat je a utrácet jen část výnosu. FAQ uvádí cílovou výdajovou sazbu 5 % ročně. Investiční část spravuje Infinite Giving jako externí správce portfolia. OSE uvádí cílený výnos 7 až 8 %, takže model počítá s tím, že se jistina dlouhodobě nevyčerpává.
Praktický příklad ukazuje i Vinogradov. Fond o velikosti 10 milionů dolarů by při pětiprocentní sazbě vyprodukoval asi 500 tisíc dolarů ročně, tedy například padesát grantů po 10 tisících dolarů. To stále není plat správce kritické knihovny, ale už to není jednorázová káva přes sponzorský odkaz. OSE tím nemá nahradit existující grantové programy, spíš zaplnit díru mezi drobnými dary a velkými korporátními nebo vládními penězi.
Aktuální měřítko je ale malé. Web OSE k dubnu 2026 uváděl fond okolo tří čvrtin milionu dolarů, necelých 110 dárců a 65 členů. Z takové částky při pětiprocentní výdajové sazbě plyne roční prostor přibližně 37 tisíc dolarů. To je užitečný signál a dobrý experiment, ale samo o sobě to nezaplatí dlouhodobou údržbu OpenSSL, zlib, curlu, xz nebo podobných komponent.
Výběr spojuje hodnotu projektu s rizikem jeho údržby
OSE cílí výhradně na nezávislé open-source projekty bez přímé vazby na firmu nebo startup. FAQ výslovně uvádí, že způsobilé nejsou projekty financované korporací, podpořené rizikovým kapitálem ani projekty s přidruženým startupem. Ideální příjemce připomíná známý obrázek XKCD o „náhodném člověku v Nebrasce“, na jehož knihovně stojí část digitální infrastruktury.
Výběrový model pracuje se dvěma osami. První sleduje „hodnotu“ projektu pro ekosystém: počet závislých balíků, stažení a zapojení komunity. Druhá měří „riziko“: kolik aktivních správců projekt má, jak vysoký je jeho bus faktor, kolik otevřených zranitelností nese a zda existuje jiné financování. Záměrem druhé osy je potlačit přirozený sklon sponzorovat především populární projekty bez ohledu na reálnou potřebu. Například OpenSSL nemělo v době zranitelnosti Heartbleed málo stažení, ale mělo málo správců. Přesně tenhle nepoměr chce výběrový model zachytit dřív než útočníci.
Projekty se mohou hlásit samy přes stránku pro nominace, komunita může nominovat. Tým pak kontaktuje nejlépe hodnocené kandidáty, ověří způsobilost, nezávislost a schopnost peníze přijmout přímo nebo přes fiskálního sponzora. Konečný seznam pro každé kolo schvaluje rada.
První grantové kolo je plánováno na druhé čtvrtletí 2026. Veřejné materiály zatím neobsahují potvrzený seznam příjemců. Na stránce o nominacích se mluví o mikrograntech okolo pěti tisíc dolarů, určených na bezpečnostní opravy nebo jako odměna dlouhodobým správcům. To je rozumně skromný začátek. Zároveň je to částka, která u skutečně kritických projektů spíš koupí čas, auditní práci nebo sníží frustraci, než aby změnila ekonomiku údržby.
Komunitní správa s pojistkou pro zakladatele
OSE se vymezuje proti modelu, kde si velký firemní dárce koupí vliv nad směrem projektu. Členem se stává dárce od 1 000 dolarů ročně. Členové mají poradní práva a stanovy počítají i s možností člensky volených ředitelů, jejich počet ale určuje rada a v počátečním nastavení je nulový. Všichni ředitelé musejí být zároveň členy. To dává fondu vazbu na lidi, kteří do něj vložili vlastní peníze, nikoli jen na rozpočty firemních oddělení.
Stanovy ale obsahují i silnou pojistku pro zakladatele. Vinogradov má podle článku III vlastní zakladatelské místo v radě, které zanikne po patnácti letech od založení nebo dříve podle jeho rozhodnutí. Po prvních dvanáct let navíc žádné rozhodnutí rady nemůže projít bez jeho souhlasu, pokud toto místo drží. Pro mladou organizaci to může být praktický způsob, jak zabránit rychlému převzetí nebo rozmělnění mise. Pro dospělou instituci by to byl problém. Rozhodující bude, zda OSE v dalších letech skutečně předá část kontroly členům, nebo jen obleče centralizované rozhodování do komunitního slovníku.
Grantová část je ve stanovách napsaná široce. Rada si ponechává konečnou kontrolu nad granty, může žádost odmítnout, grant zrušit a rozhodovat o využití příspěvků. To je u americké charity pochopitelné i kvůli právním požadavkům, ale pro open-source komunitu bude důležitá praxe: jak veřejný bude model hodnocení, jak se budou řešit střety zájmů a zda odmítnuté projekty dostanou srozumitelnou zpětnou vazbu.
Od OpenSSF a NLnetu se liší hlavně časovým horizontem
Open source už dnes peníze dostává, jen velmi nerovnoměrně. OpenSSF a jeho program Alpha-Omega směřuje větší částky na bezpečnostní práci v důležitých ekosystémech, v řádu jednotek milionů dolarů ročně. V roce 2024 Alpha-Omega podpořil mimo jiné bezpečnostní týmy u Python Software Foundation, OpenJS a RubyGems, posílení infrastruktury linuxového jádra a Homebrew a audity základních technologií. To je jiná váhová kategorie než současné OSE.
Německý Sovereign Tech Fund pracuje s veřejnými penězi a s kritérii jako rozšířenost technologie, společenská relevance nebo zranitelnost financování. U žádostí aktuálně vyžaduje, aby odhadované náklady práce přesahovaly 50 tisíc eur. NLnet nabízí průběžné výzvy a granty v rozsahu 5 až 50 tisíc eur s doplňkovou podporou: bezpečnostní audity, testování, mentoring nebo poradenství k licencím. Tyto programy se hodí pro konkrétní práci v jasně vymezeném období. OSE slibuje něco jiného: opakovaný výnos z jednou vybudované jistiny.
GitHub Sponsors, Open Collective nebo individuální sponzorské odkazy řeší přímý vztah mezi uživatelem a autorem. Tidelift k tomu přidává obchodní vrstvu: firmy platí za správu rizik, metadata a závazky kolem balíčků, které používají. OSE se pohybuje jinde. Neprodává firmám jistotu kolem konkrétní závislosti a nepřeposílá drobné dary populárním autorům. Snaží se vytvořit trvalý kapitál, z něhož budou dostávat malé, ale opakovatelné platby projekty, které jsou užívané, kritické a slabě udržované.
Heartbleed, Log4Shell a XZ Utils jsou argument, ne důkaz funkčnosti
OSE přímo odkazuje na incidenty Heartbleed, Log4Shell a backdoor v XZ Utils. To jsou přesné příklady toho, proč podfinancování údržby není sentimentální téma pro vývojářské konference. Heartbleed ukázal, že kritická kryptografická knihovna může být závislá na absurdně malém rozpočtu. Log4Shell připomněl, jak hluboko pronikají běžné knihovny do produkčních systémů. XZ Utils přidaly ještě nepříjemnější lekci: osamocený správce není jen provozní riziko, ale i vstupní bod pro sociální útok na dodavatelský řetězec.
Z těchto incidentů ale automaticky neplyne, že právě nadační fond je nejlepší odpovědí. Peníze samy nezaručí lepší posuzování změn, silnější proces vydávání ani vyšší počet důvěryhodných správců. U projektu s jedním unaveným člověkem může mikrogrant pomoci, ale nemusí vytvořit druhého člověka, který zná kód, má čas a komunitní důvěru. Největší hodnota OSE proto nemusí být ve výši prvních grantů, ale v tom, zda dokáže najít projekty s vysokou hodnotou a vysokým rizikem dřív, než se objeví CVE nebo incident v dodavatelském řetězci.
Pokud se výběrový model stane veřejně čitelným, může posloužit jako další signál při hodnocení závislostí. Projekt, který OSE označí jako kritický a podfinancovaný, nemusí být horší software. Může to být software, který používáte denně a jehož udržitelnost jste dosud neměli v žádném interním registru rizik.
Největší otázka je měřítko
Cíl, který Vinogradov popsal v rozhovoru pro TechCrunch, je 100 milionů dolarů během sedmi let. Při pětiprocentní výdajové sazbě by to znamenalo přibližně pět milionů dolarů ročně na granty. To už by byl program s viditelným dopadem, srovnatelný ročním objemem s některými etablovanými bezpečnostními granty. Dnes je OSE zhruba o dva řády níž.
Kritika modelu je proto jednoduchá a podle mě správná: pětitisícový mikrogrant nevytváří udržitelné živobytí a fond pod milion dolarů nemůže systémově řešit údržbu globální softwarové infrastruktury. Aby fond generoval půl milionu dolarů ročně, potřebuje deset milionů v jistině. Aby pokryl třicet projektů příjmem šedesát tisíc dolarů ročně, přibližně plat juniora na londýnském trhu, potřebuje přes třicet milionů.
Cesta od tří čtvrtin milionu k těmto číslům závisí na přilákání institucionálních nebo korporátních dárců v řádu milionů. Zkušenosti jiných nadací ukazují, že tato fáze může trvat roky. OSE na to má jedinou férovou odpověď, a tou je čas. Takový fond funguje až ve chvíli, kdy má velkou jistinu, nízké provozní náklady, důvěryhodnou správu a dost dlouhý horizont. Do té doby je to dobře navržený prototyp instituce, nikoli hotové řešení krize financování open source.
Pro české správce a vývojáře z toho plyne střízlivý závěr. OSE zatím nezmění způsob, jakým balíte programy v Debianu, Fedoře nebo interních repozitářích, ani vás nezbaví nutnosti sledovat SBOM, CVE a stav upstreamu. Může ale přidat nový typ signálu: kdo dlouhodobě platí údržbu komponent, na kterých stojí vaše služby. Jestli se ten signál v dalších letech objeví vedle OpenSSF, Sovereign Tech Fundu a NLnetu jako běžná součást rozhodování o závislostech, bude to větší úspěch než první sada grantů.
