- 20,956
- 46
- 8 Ноя 2022
Поддержка реестров пакетов стала слишком дорогой для волонтёров и доноров.
Открытое письмо крупнейших фондов с открытым исходным кодом стало, пожалуй, самым прямым сигналом: инфраструктура, на которой держится современная разработка, трещит по швам. Open Source Security Foundation (OpenSSF) вместе с восемью организациями, включая Eclipse Foundation, Rust Foundation, Sonatype и Python Software Foundation, заявила : «Открытая инфраструктура не бесплатна».
Речь идёт о критически важных реестрах пакетов — Maven Central, PyPI, crates.io, npm, Packagist. Ежемесячно они обслуживают миллиарды загрузок, но поддерживаются в основном на пожертвования, гранты и редкие спонсорские взносы. Между тем расходы на трафик, хранение данных, персонал и соответствие новым требованиям растут, а нагрузка — от автоматизированных CI-систем, массовых сканеров и даже агентов ИИ — увеличивается. Всё это создаёт «расточительное использование», за которое платят несколько некоммерческих структур и небольшое число компаний.
Авторы письма подчеркивают: коммерческое использование без сопоставимой поддержки невозможно в долгосрочной перспективе. От отрасли ждут нулевого простоя, мгновенного разрешения зависимостей, подписанных пакетов, моментальной реакции на атаки в цепочке поставок и выполнения новых регуляторных норм вроде европейского Cyber Resilience Act. При этом расходы несут те, кто по сути работает «дворниками» глобальной экосистемы.
Фонды предлагают варианты выхода: партнёрства с коммерческими пользователями, многоуровневый доступ с приоритетом для крупных потребителей, платные сервисы с добавленной ценностью и больше прозрачности в расходах. Идея проста — те, кто получает выгоду в промышленных масштабах, должны начать вкладываться в инфраструктуру пропорционально.
Ранее о проблеме предупреждали и другие игроки. В июле GitHub (принадлежит Microsoft) предложил считать open source «цифровой общественной инфраструктурой» и даже создать в ЕС специальный фонд на €350 млн. Параллельно разработчики уходят из проектов от усталости и конфликта интересов, активисты размещают билборды с упрёками крупным компаниям, а ветераны движения вроде Брюса Перенса предлагают лицензии, обязывающие коммерческих пользователей платить.
Теперь же OpenSSF говорит максимально прямо: праздник халявы заканчивается. Если крупнейшие потребители продолжат воспринимать «бесплатность» как само собой разумеющееся, то вскоре им придётся на себе испытать, сколько стоит настоящий простой.
Открытое письмо крупнейших фондов с открытым исходным кодом стало, пожалуй, самым прямым сигналом: инфраструктура, на которой держится современная разработка, трещит по швам. Open Source Security Foundation (OpenSSF) вместе с восемью организациями, включая Eclipse Foundation, Rust Foundation, Sonatype и Python Software Foundation, заявила : «Открытая инфраструктура не бесплатна».
Речь идёт о критически важных реестрах пакетов — Maven Central, PyPI, crates.io, npm, Packagist. Ежемесячно они обслуживают миллиарды загрузок, но поддерживаются в основном на пожертвования, гранты и редкие спонсорские взносы. Между тем расходы на трафик, хранение данных, персонал и соответствие новым требованиям растут, а нагрузка — от автоматизированных CI-систем, массовых сканеров и даже агентов ИИ — увеличивается. Всё это создаёт «расточительное использование», за которое платят несколько некоммерческих структур и небольшое число компаний.
Авторы письма подчеркивают: коммерческое использование без сопоставимой поддержки невозможно в долгосрочной перспективе. От отрасли ждут нулевого простоя, мгновенного разрешения зависимостей, подписанных пакетов, моментальной реакции на атаки в цепочке поставок и выполнения новых регуляторных норм вроде европейского Cyber Resilience Act. При этом расходы несут те, кто по сути работает «дворниками» глобальной экосистемы.
Фонды предлагают варианты выхода: партнёрства с коммерческими пользователями, многоуровневый доступ с приоритетом для крупных потребителей, платные сервисы с добавленной ценностью и больше прозрачности в расходах. Идея проста — те, кто получает выгоду в промышленных масштабах, должны начать вкладываться в инфраструктуру пропорционально.
Ранее о проблеме предупреждали и другие игроки. В июле GitHub (принадлежит Microsoft) предложил считать open source «цифровой общественной инфраструктурой» и даже создать в ЕС специальный фонд на €350 млн. Параллельно разработчики уходят из проектов от усталости и конфликта интересов, активисты размещают билборды с упрёками крупным компаниям, а ветераны движения вроде Брюса Перенса предлагают лицензии, обязывающие коммерческих пользователей платить.
Теперь же OpenSSF говорит максимально прямо: праздник халявы заканчивается. Если крупнейшие потребители продолжат воспринимать «бесплатность» как само собой разумеющееся, то вскоре им придётся на себе испытать, сколько стоит настоящий простой.
- Источник новости
- www.securitylab.ru
