Joost de Valk končí u FAIR: co to znamená pro federovaný repozitář pluginů a šablon pro WordPress

Joost de Valk (zakladatel Yoast SEO) oznámil, že se stahuje z projektu FAIR. Jde o iniciativu pod Linux Foundation, jejímž cílem je vybudovat nezávislý (a v ideálním případě federovaný) repozitář šablon a pluginů – tedy alternativu k centralizované distribuci přes WordPress.org.

V praxi je to signál, že snaha o „nezávislý repozitář“ narazila na klasický problém: bez dlouhodobého financování a bez ochoty velkých hráčů nést náklady i reputační riziko se z dobré architektury špatně dělá provozně udržitelná služba.

Proč FAIR vůbec vznikl

FAIR se rozjel v polovině roku 2025 jako reakce na situaci, která naplno odhalila slabé místo WordPress ekosystému: závislost na jednom centrálním repozitáři a jeho infrastruktuře pro distribuci aktualizací.

Konkrétním spouštěčem byla událost, kdy Matt Mullenweg nahradil v oficiálním repozitáři WP Engine plugin Advanced Custom Fields (ACF) vlastní verzí – šlo o fork (duplicitní odnož vytvořená z původního projektu). Zároveň došlo k tomu, že WP Engine a také řada jejich zákazníků ztratili přístup k repozitáři šablon a pluginů na WordPress.org i k navázaným update službám.

To vyvolalo výraznou kritiku a otevřelo debatu o „single point of failure“: když jeden bod (repozitář + update kanál) ovládá distribuci velké části ekosystému, stačí jeden konflikt nebo zásah a dopad je systémový. Výsledkem byl tlak na decentralizaci – tedy na model, kde existuje federovaná skupina nezávisle hostovaných repozitářů.

FAIR z toho vyrostl jako pokus posunout nápad do realizace. Joost de Valk patřil k lidem, kteří vysvětlovali, proč komunita nezávislé repozitáře potřebuje, spoluzakládal projekt a pomáhal ho nastartovat i ukotvit v neutrálnějším modelu governance.

Joost de Valk: odcházím, protože chybí podpora (a ochota nést riziko)

Joost svůj odchod rámuje jako rozhodnutí, kdy má smysl přestat tlačit projekt dál, pokud se nedaří odstranit klíčovou brzdu: finance a s nimi spojený závazek velkých hráčů.

Popisuje, že v posledních měsících probíhaly rozhovory s hostingovými firmami a dalšími velkými hráči WordPress ekosystému. Z nich postupně vyplynulo, že do tohoto typu řešení nechtějí investovat. Ne proto, že by byli nadšení ze současného stavu nebo souhlasili se vším, co se stalo, ale proto, že investice znamená závazek: náklady, vstup do politicky napjaté situace a hlavně riziko.

In recent months, we’ve had many conversations with hosting companies and other large ecosystem players. What became increasingly clear is this: they do not want to invest in this kind of solution. Not because they love the current situation. Not because they agree with everything that’s happened. But because investment means commitment. It means cost. It means stepping into political tension. And most of all, it means risk.

Joost de Valk

V jeho formulaci zaznívá „political tension“ a „risk“, ale bez explicitního pojmenování, co přesně tím myslí. Čtení mezi řádky je nicméně poměrně přímočaré: podpora FAIR může být vnímána jako přihlášení se na jednu stranu sporu mezi Mattem Mullenwegem a WP Engine.

A to je pro hostingy a velké poskytovatele služeb citlivé – v sázce jsou (v jejich měřítku) potenciálně miliony až miliardy dolarů v tržbách. Není tedy překvapivé, že právě tahle skupina může v tuto chvíli váhat, zda se k projektu veřejně přihlásit finančně i politicky.

FAIR vydal vlastní stanovisko: projekt pokračuje a míří za hranice WordPressu

FAIR na Joostovo rozhodnutí reagoval oficiálním stanoviskem: odchod bere na vědomí a zároveň potvrzuje, že financování je dlouhodobě problém. Současně zdůrazňuje, že FAIR dál funguje jako nezávislý projekt.

Zajímavější je ale druhá rovina sdělení: FAIR se vymezuje jako řešení, které nikdy nemělo být čistě „WordPress-specific“. Cíl má být širší – „industry-wide“ přístup k bezpečnosti softwarového dodavatelského řetězce (software supply-chain security), decentralizované distribuci a mechanizmům důvěry a ověřování (trust and verification).

The problems FAIR solves are not WordPress-specific. Supply chain security, decentralized distribution, trust and verification are industry-wide issues and they’re becoming more urgent, not less. The EU’s Cyber Resilience Act arrives in December 2027 and when it does, software supply chain integrity becomes a regulatory requirement — demonstrating provenance, security scanning, and traceable update mechanisms. FAIR’s architecture is built with exactly this kind of trustworthiness in mind. We haven’t given up on WordPress. We still welcome contributors and ecosystem leaders to join us so we can continue advancing the work.

FAIR

Proč se zmiňuje EU Cyber Resilience Act (CRA) a datum prosinec 2027

FAIR do argumentace vkládá i regulatorní tlak: EU Cyber Resilience Act má podle jejich textu dorazit v prosinci 2027. V ten moment se integrita software supply chain stává regulatorním požadavkem – tedy schopnost doložit původ (provenance), provádět bezpečnostní skenování a mít dohledatelné mechanismy aktualizací (traceable update mechanisms).

Tohle je přesně ta vrstva, kterou WordPress komunita často řeší až ve chvíli incidentu: odkud se balíček vzal, kdo ho podepsal/ověřil, co přesně se změnilo, jakým kanálem se update dostal k uživatelům a jaká je možnost nezávislé verifikace.

Co to znamená pro WordPress ekosystém teď

FAIR formálně nekončí, ale odchod vysoce viditelného mluvčího a člověka pevně spojeného s WordPress komunitou může projekt poslat do méně výrazné fáze. To typicky znamená pomalejší rozvoj, těžší vyjednávání s partnery a větší tlak na to, aby se práce přesunula do „čistě inženýrského“ módu bez výrazného komunitního leadershipu.

Zároveň zůstává ve vzduchu klíčová otázka: pokud hostingový segment a velcí hráči nechtějí teď vstoupit do financování a otevřeného závazku, bude FAIR schopný doručit produkčně použitelnou alternativu v čase, kdy je to pro WordPress reálně relevantní?

Jedna možnost je, že projekt získá víc životaschopnosti až ve chvíli, kdy se uklidní dlouhodobý konflikt kolem Mullenweg–WP Engine a zmizí část reputačního rizika spojená s tím, „na čí straně“ kdo stojí. Druhá možnost je, že se FAIR postupně profiluje primárně jako obecné řešení supply-chain bezpečnosti a WordPress bude jen jedním z konzumentů výsledků, ne hlavním hnacím motorem.

Shrnutí: dobrá architektura nestačí, když chybí závazek

• FAIR vznikl jako reakce na konkrétní konflikt a zásahy do distribuce pluginů/šablon přes WordPress.org, které ukázaly single point of failure.
• Joost de Valk z projektu odchází hlavně kvůli tomu, že se nedaří získat finanční podporu a veřejný závazek velkých hráčů (hostingy a další).
• V pozadí je i politické napětí: podpora FAIR může být čtená jako postavení se na jednu stranu sporu Mullenweg vs. WP Engine.
• FAIR tvrdí, že problém není jen WordPressový: supply-chain security, decentralizovaná distribuce a ověřování jsou napříč odvětvím stále urgentnější.
• Projekt explicitně zmiňuje EU Cyber Resilience Act s horizontem prosinec 2027 a požadavky na provenance, security scanning a traceable update mechanisms.