Организация OpenSSF (Open Source Security Foundation), созданная для объединения работы представителей индустрии в области повышения безопасности открытого ПО, опубликовала открытое письмо, которое подписали разработчики репозиториев PyPI, crates.io, Packagist, Open VSX и Maven Central. В письме упомянуты проблемы с сохранением устойчивости инфраструктуры при нынешних моделях финансирования и использования репозиториев. Последнее время нагрузка на репозитории увеличивается экспоненциально, но рост финансирования работы по сопровождению в лучшем случае имеет линейный характер. Отмечается, что ситуация с финансированием пока не достигла кризиса, но статус‑кво больше не может сохранятся и наступил критический переломный момент, требующий изменений. Проблема в том, что многие коммерческие компании рассматривают общедоступные репозитории как бесплатный и неограниченно масштабируемый ресурс для решения своих задач, при том, что финансирование репозиториев осуществляется отдельными компаниями-спонсорами или некоммерческими организациями, зависящими от грантов и пожертвований. Некоторые компании злоупотребляют общедоступными репозиториями и используют их в качестве сети доставки контента (CDN) для распространения бинарных компонентов, SDK и пакетов, работающих только в составе платного продукта; флудят запросами из автоматизированных CI‑систем и систем сборки контейнеров; применяют ресурсоёмкие сканеры зависимостей. При этом часто компании не задумываются о влиянии своей деятельности на инфраструктуру репозиториев и не пытаются реализовать оптимизации, ограничить интенсивность потока запросов или кэшировать загружаемые пакеты. Всё это создаёт огромную нагрузку на инфраструктуру, которая усугубляется растущей активностью AI-ботов. Постоянное финансирование является критическим фактором поддержания стабильности и устойчивости функционирования репозиториев, от которых зависит огромное число программных продуктов и проектов. Каждый сбой в работе репозитория приводит к невозможности загрузить необходимые приложениям зависимости, а также к коллапсу процессов разработки, систем непрерывной интеграции и сборочных инфраструктур. Сложилась ситуация, при которой отдельные организации несут основную часть затрат на инфраструктуру, в то время как большинство крупных потребителей, среди которых коммерческие компании, извлекают выгоду и используют сервисы, не внося свой вклад в поддержание их работы. Общедоступные репозитории превращаются в бесплатные глобальные сети доставки контента для коммерческих производителей. Коммерческое использование репозиториев в промышленных масштабах без коммерческой поддержки нежизнеспособно и инфраструктура открытого ПО в таких условиях не может бесконечно масштабироваться на одном энтузиазме. Подписавшие открытое письмо разработчики репозиториев выступают за сохранение бесплатного и общедоступного характера предоставляемых сервисов, но предлагают для поддержания устойчивости критически важных инфраструктур создать устойчивые модели финансирования, масштабируемые по мере роста нагрузки и применяемые вместо моделей, завязанных на неформальную и непостоянную поддержку. Для сохранения доступности открытой инфраструктуры и её развития рассматриваются такие меры, как:
Источник: https://www.opennet.ru/opennews/art.shtml?num=63959
- введение дополнительных платных возможностей, например, предоставление расширенной платной статистики; коммерческое сотрудничество, помогающее финансировать поддержание инфраструктуры пропорционально создаваемой нагрузке или в обмен на стратегические преимущества; многоуровневые модели доступа, сохраняющие открытость для обычных пользователей, но вводящие платные опции для тех, кому требуется повышенная надёжность, расширенная пропускная способность и большой объём трафика.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63959