Joost de Valk vetäytyy FAIR-hankkeesta – mitä se kertoo WordPressin riippuvuuksista ja ohjelmistoketjun turvallisuudesta

Joost de Valk (Yoast SEO:n perustaja) on ilmoittanut vetäytyvänsä FAIR-projektista, joka toimii Linux Foundationin sateenvarjon alla ja tähtää riippumattomaan teemojen ja lisäosien jakelumalliin. Taustalla on erityisesti se, että hanke ei ole saanut riittävää taloudellista tukea muilta ekosysteemin isoilta toimijoilta, etenkin hosting-yhtiöiltä.

Kuvitus: FAIR ja WordPressin hajautetun jakelun teema — FAIR syntyi reaktiona tilanteeseen, jossa WordPress-ekosysteemin keskeinen jakelukanava nähtiin yhden pisteen varassa. — *Forrás: Search Engine Journal*

Mikä FAIR on ja miksi se syntyi?

FAIR käynnistettiin vuoden 2025 puolivälissä tilanteessa, jossa WordPressin virallisen WordPress.org-repositorion rooli nousi uudella tavalla keskusteluun. Katalyyttina toimi tapaus, jossa Matt Mullenweg korvasi WP Enginen Advanced Custom Fields (ACF) -lisäosan virallisessa repossa omalla versiollaan (käytännössä fork, eli kun olemassa olevasta projektista luodaan rinnakkainen kopio/haara). Samassa yhteydessä WP Engine sekä monet sen asiakkaat jäivät ilman pääsyä WordPress.orgin teema- ja lisäosarepositorioon sekä siihen kytkeytyviin päivityspalveluihin.

Tilanne keräsi runsaasti kritiikkiä ja nosti esiin epämiellyttävän tosiasian: WordPressin jakelumalli voi muodostua yhden pisteen varaan. Kun teemojen ja lisäosien jakelu ja päivitysmekanismit nojaavat yhteen keskitettyyn palveluun, häiriö – oli se tekninen tai hallinnollinen – voi vaikuttaa laajasti koko ekosysteemiin.

Tämän seurauksena syntyi ajatus federated-mallista: joukosta itsenäisesti ylläpidettyjä, erikseen hostattuja repositorioita, jotka yhdessä muodostavat hajautetun jakeluverkon. FAIR syntyi tämän liikehdinnän ympärille. De Valkilla oli keskeinen rooli siinä, että tarve itsenäisille repositorioille sanoitettiin selkeästi ja että projekti saatiin liikkeelle kohti neutraalimpaa hallintomallia.

Miksi de Valk vetäytyi?

De Valk perustelee vetäytymistään sillä, että FAIR ei ole saanut sellaista rahoitusta ja sitoutumista, jota käytännössä tarvitaan, jotta projekti voisi kasvaa elinkelpoiseksi ja pysyväksi ratkaisuksi. Hän kuvaa käyneensä viime kuukausina keskusteluja hosting-yhtiöiden ja muiden suurten ekosysteemitoimijoiden kanssa – ja viesti on ollut, ettei tällaisen ratkaisun rakentamiseen haluta investoida.

In recent months, we’ve had many conversations with hosting companies and other large ecosystem players. What became increasingly clear is this: they do not want to invest in this kind of solution. Not because they love the current situation. Not because they agree with everything that’s happened. But because investment means commitment. It means cost. It means stepping into political tension. And most of all, it means risk.
Joost de Valk

Keskeiset sanat tuossa ovat commitment, cost, political tension ja risk. De Valk ei erittele, mihin poliittinen jännite tai riski täsmälleen kohdistuu, mutta on helppo nähdä, miksi erityisesti hosting-yritykset varovat. FAIRin tukeminen voidaan tulkita kannanotoksi tilanteessa, jossa WordPress-kentällä on näkyvä riita Matt Mullenwegin ja WP Enginen välillä. Hosting-toimijoille panokset ovat käytännössä liiketoimintakriittisiä: puhutaan mahdollisesti miljoonien tai jopa miljardien ansaintariskistä.

FAIRin virallinen linja: ei vain WordPressiä varten

FAIR julkaisi samassa yhteydessä oman kannanottonsa, jossa de Valkin päätös noteerataan ja rahoitushaasteet myönnetään. Samalla projekti painottaa, että se jatkaa itsenäisenä hankkeena, eikä FAIR ole koskaan ollut vain WordPress-spesifi: se on tarkoitettu laajemmaksi teollisuuden ratkaisuksi ohjelmistojen toimitusketjun turvallisuuteen (software supply-chain security).

The problems FAIR solves are not WordPress-specific. Supply chain security, decentralized distribution, trust and verification are industry-wide issues and they’re becoming more urgent, not less. The EU’s Cyber Resilience Act arrives in December 2027 and when it does, software supply chain integrity becomes a regulatory requirement — demonstrating provenance, security scanning, and traceable update mechanisms. FAIR’s architecture is built with exactly this kind of trustworthiness in mind. We haven’t given up on WordPress. We still welcome contributors and ecosystem leaders to join us so we can continue advancing the work.
FAIR-projekti

Mitä Cyber Resilience Act (CRA) muuttaa käytännössä?

FAIR nostaa esiin EU:n Cyber Resilience Actin, jonka aikataulu on joulukuu 2027. Tällöin ohjelmistojen toimitusketjun eheydestä tulee nimenomaisesti regulaatiovaatimus: pitää pystyä osoittamaan alkuperä (provenance), tekemään tietoturvaskannauksia ja tarjoamaan jäljitettävät päivitysmekanismit. FAIRin viesti on, että sen arkkitehtuuri on rakennettu nimenomaan tämänkaltaista luottamusta, todennusta ja jäljitettävyyttä silmällä pitäen.

Termit nopeasti

Supply chain security tarkoittaa sitä, että ohjelmiston riippuvuudet, jakelukanavat ja päivitysreitit ovat suojattuja ja jäljitettävissä. Federated repository viittaa malliin, jossa jakelu ei ole yhden palvelun takana, vaan useat itsenäiset repo-instanssit voivat toimia yhdessä.

Mitä tämä tarkoittaa WordPress-kehittäjälle (ja hostingille)?

Teknisestä näkökulmasta FAIRiin liittyvä keskustelu osuu kahteen asiaan, jotka moni WordPress-kehittäjä tunnistaa arjesta: (1) riippuvuudet päivitys- ja jakeluinfrasta ja (2) luottamusketju siihen, mistä paketti tulee ja mitä se sisältää.

WordPress.orgin ekosysteemissä laajennukset ja teemat ovat käytännössä ohjelmistotoimitusketjun ydin. Jos pääsy repoihin tai päivityspalveluihin katkeaa, vaikutus ei rajoitu vain yhteen toimijaan: se heijastuu loppuasiakkaiden ylläpitoon, tietoturvapäivityksiin ja jopa kykyyn hallita haavoittuvuuksiin reagoimista.

Liiketoiminnan puolella de Valkin huomio sitoutumisen hinnasta on oleellinen. Hajautettu repo-infra ei synny pelkällä hyvällä tahdolla: se vaatii rahoitusta, ylläpitoa, hallintomallia ja käytännön osallistumista – ja se voi asettaa toimijat keskelle ekosysteemin sisäisiä jännitteitä. Tästä näkökulmasta ei ole yllättävää, että osa hosting-toimijoista mieluummin odottaa, mihin suuntaan WordPressin sisäinen kiista kehittyy.

Jatkuuko FAIR ilman näkyvää keulakuvaa?

FAIR ei ole loppumassa de Valkin vetäytymiseen, mutta se jatkaa todennäköisesti pienemmällä näkyvyydellä WordPress-yhteisön suuntaan. Kun yksi alan tunnetuimmista WordPress-vaikuttajista ei enää kanna projektia julkisesti, huomio voi siirtyä enemmän arkkitehtuuriin ja toimialatason tavoitteisiin – tai vaihtoehtoisesti koko hanke voi edetä hitaammin, jos rahoitus ja hosting-teollisuuden osallistuminen eivät parane.

On myös realistista, että FAIRin mahdollisuudet WordPress-kontekstissa paranevat vasta siinä vaiheessa, kun Mullenweg–WP Engine -saaga rauhoittuu. Juuri nyt rahoittamisen ja osallistumisen esteenä ei näytä olevan pelkkä tekninen epävarmuus, vaan se, että investointi koetaan kannanotoksi ja riskiksi.

Yhteenveto

FAIR käynnistettiin vuoden 2025 puolivälissä vastareaktiona WordPress.org-repositorioon liittyneisiin kiistoihin (ACF:n fork ja WP Engineen kohdistuneet pääsyrajoitukset).
Hankkeen tavoite on hajauttaa jakelua federated-mallilla ja vähentää ekosysteemin yhden pisteen haavoittuvuutta.
Joost de Valk vetäytyi, koska rahoitus ja erityisesti hosting-toimijoiden investointihalukkuus on jäänyt puuttumaan; syinä korostuvat sitoutumisen hinta, poliittinen jännite ja riski.
FAIR painottaa olevansa WordPressiä laajempi ratkaisu software supply-chain securityyn; se nostaa esiin EU:n Cyber Resilience Actin (joulukuu 2027) ja vaatimukset: provenance, security scanning ja traceable update mechanisms.
Projekti jatkuu, mutta ilman näkyvää WordPress-keulakuvaa ja ilman laajaa hosting-osallistumista eteneminen voi olla aiempaa vaatimattomampaa.