Joost de Valk wycofuje się z FAIR: co dalej z niezależnym repozytorium wtyczek i motywów dla WordPressa?

Joost de Valk (twórca Yoast SEO) poinformował, że przestaje angażować się w FAIR – inicjatywę pod egidą Linux Foundation, której celem było zbudowanie niezależnego, federacyjnego modelu dystrybucji motywów i wtyczek. W praktyce chodziło o alternatywę dla scentralizowanego WordPress.org, ale z ambicją wykraczającą poza sam WordPress: o standardy bezpieczeństwa łańcucha dostaw oprogramowania (software supply-chain security) i mechanizmy zaufania w aktualizacjach.

Czym było FAIR i skąd wzięła się potrzeba federacji repozytoriów?

FAIR wystartowało w połowie 2025 roku w atmosferze mocnego napięcia w ekosystemie WordPressa. Zapalnikiem była sytuacja, w której Matt Mullenweg zastąpił w oficjalnym repozytorium wtyczek WordPress.org wtyczkę Advanced Custom Fields (ACF) od WP Engine własną wersją (w praktyce był to fork, czyli rozwidlenie – duplikat rozwijany niezależnie). Równolegle WP Engine oraz wielu jego klientów miało zostać odciętych od dostępu do repozytorium motywów i wtyczek WordPress.org oraz powiązanych usług aktualizacji.

Ta sekwencja zdarzeń uruchomiła falę krytyki i bardzo szybko skierowała uwagę na fundamentalny problem: dystrybucja kodu (wtyczek/motywów) i kanał aktualizacji w praktyce opierają się na jednym punkcie, od którego zależy ogromna część rynku. W dyskusjach zaczęło dominować hasło „single point of failure” – jeśli centralny dostawca repozytorium i aktualizacji podejmie kontrowersyjną decyzję lub wystąpi awaria/ograniczenie dostępu, skutki rozlewają się na hostingi, agencje i właścicieli stron.

Odpowiedzią miała być decentralizacja dystrybucji poprzez federację niezależnie hostowanych repozytoriów – model, w którym wiele podmiotów może dostarczać paczki, a zaufanie i weryfikacja nie opierają się na jednym operatorze. To właśnie ten kierunek stał się rdzeniem FAIR.

Rola Joosta de Valka w FAIR

De Valk był jedną z najbardziej rozpoznawalnych postaci promujących sens niezależnych repozytoriów: tłumaczył, dlaczego społeczność potrzebuje alternatywnej infrastruktury dystrybucyjnej, a także współtworzył sam projekt i pomagał go „postawić na nogi”. Istotny był też wątek neutralnego modelu zarządzania (governance) – FAIR miało trafić pod ramy możliwie bezstronnego nadzoru, co w realiach konfliktów interesów w ekosystemie WordPressa nie jest trywialne.

Dlaczego Joost odchodzi: pieniądze, zobowiązania i ryzyko

W najnowszym komunikacie Joost de Valk wskazał, że jednym z głównych hamulców projektu jest brak finansowego wsparcia, które pozwoliłoby FAIR przejść z etapu inicjatywy do realnie „żywotnego” podmiotu. Wprost opisał serię rozmów z firmami hostingowymi i innymi dużymi graczami rynku, z których wyłonił się wniosek: branża nie chce inwestować w takie rozwiązanie.

In recent months, we’ve had many conversations with hosting companies and other large ecosystem players. What became increasingly clear is this: they do not want to invest in this kind of solution. Not because they love the current situation. Not because they agree with everything that’s happened. But because investment means commitment. It means cost. It means stepping into political tension. And most of all, it means risk.

Joost de Valk

Kluczowe są tu trzy elementy: commitment (zobowiązanie), koszt oraz wejście w napięcie polityczne – a finalnie ryzyko. De Valk używa sformułowań „political tension” i „risk”, nie nazywając ich wprost. W realiach ostatnich sporów interpretacja jest jednak dość czytelna: publiczne wsparcie FAIR mogłoby być odebrane jako opowiedzenie się po jednej ze stron konfliktu wokół Matta Mullenwega i WP Engine.

Z perspektywy hostingu stawka jest ogromna: to rynek, na którym przychody liczy się w milionach, a u największych graczy w setkach milionów lub miliardach dolarów. W takiej sytuacji wejście w inicjatywę postrzeganą jako politycznie „gorąca” może oznaczać ryzyko biznesowe, którego firmy wolą dziś nie podejmować.

Oświadczenie FAIR: projekt działa dalej i nie jest „tylko o WordPressie”

FAIR opublikowało własne stanowisko, w którym potwierdza odejście de Valka i jednocześnie przyznaje, że finansowanie pozostaje problemem. Jednocześnie podkreślono, że FAIR funkcjonuje jako niezależny projekt oraz że od początku nie był on ograniczony do WordPressa – miał być rozwiązaniem „branżowym” (industry-wide) dla bezpieczeństwa łańcucha dostaw oprogramowania.

The problems FAIR solves are not WordPress-specific. Supply chain security, decentralized distribution, trust and verification are industry-wide issues and they’re becoming more urgent, not less. The EU’s Cyber Resilience Act arrives in December 2027 and when it does, software supply chain integrity becomes a regulatory requirement — demonstrating provenance, security scanning, and traceable update mechanisms. FAIR’s architecture is built with exactly this kind of trustworthiness in mind. We haven’t given up on WordPress. We still welcome contributors and ecosystem leaders to join us so we can continue advancing the work.

FAIR

Cyber Resilience Act (CRA) i grudzień 2027: dlaczego FAIR wiąże to z repozytoriami

W oświadczeniu pojawia się bardzo konkretny punkt odniesienia: unijny Cyber Resilience Act ma wejść w życie w grudniu 2027 roku, a wraz z nim integralność software supply chain staje się wymaganiem regulacyjnym. FAIR wskazuje trzy obszary, które będą musiały dać się wykazać: provenance (pochodzenie/proweniencja komponentów), skanowanie bezpieczeństwa oraz mechanizmy aktualizacji, które są śledzalne (traceable update mechanisms).

To istotne przesunięcie narracji: repozytorium i kanał aktualizacji przestają być „tylko” narzędziem dystrybucji, a zaczynają być elementem zgodności i dowodzenia zaufania. FAIR twierdzi, że jego architektura była projektowana właśnie pod taki model wiarygodności (trustworthiness).

Co to oznacza dla ekosystemu WordPressa w praktyce?

FAIR formalnie nie znika – projekt ma działać dalej. Jednocześnie odejście osoby o tak wysokiej rozpoznawalności w świecie WordPressa może oznaczać mniejszą „siłę przebicia” w społeczności i wśród firm, które mogłyby dołożyć się finansowo lub infrastrukturalnie.

W tle pozostaje problem, od którego wszystko się zaczęło: brak szerokiego udziału branży hostingowej. Jeśli hostingi nie chcą dziś inwestować (bo inwestycja to koszt, zobowiązanie i ryzyko polityczne), FAIR może poruszać się wolniej lub w okrojonym składzie. Jednocześnie jest scenariusz, w którym inicjatywa zyskuje na atrakcyjności dopiero po uspokojeniu sporów wokół Matta Mullenwega i WP Engine – gdy zniknie część napięć, a inwestowanie w alternatywną dystrybucję przestanie być postrzegane jako deklaracja lojalności wobec którejś ze stron.

Najważniejsze wnioski

• FAIR powstało w połowie 2025 roku jako odpowiedź na kryzys zaufania do centralnej dystrybucji wtyczek i motywów (WordPress.org) po głośnych decyzjach dotyczących ACF oraz dostępu WP Engine i klientów do repozytorium i usług aktualizacji.
• Projekt miał budować federacyjny (zdecentralizowany) model repozytoriów, ograniczając „single point of failure” w ekosystemie WordPressa.
• Joost de Valk wycofuje się z FAIR, wskazując m.in. na brak finansowania; rozmowy z hostingami i dużymi graczami pokazały niechęć do inwestowania ze względu na koszt, zobowiązanie, napięcia polityczne i ryzyko.
• FAIR potwierdza, że finansowanie nadal jest problemem, ale projekt pozostaje niezależny i podkreśla, że dotyczy nie tylko WordPressa, lecz szerzej: supply chain security, zdecentralizowanej dystrybucji, zaufania i weryfikacji.
• W komunikacji FAIR pojawia się twardy argument regulacyjny: EU Cyber Resilience Act w grudniu 2027 roku, który ma wymagać m.in. wykazania pochodzenia komponentów, skanowania bezpieczeństwa i śledzalnych mechanizmów aktualizacji.