Согласно данным экспертов по безопасности из Sonatype, корпорации ежегодно загружают проекты с открытым исходным кодом более десяти триллионов раз. Сегодня репозитории столкнулись с лавинообразным ростом спроса, который может привести к коллапсу всей цифровой экономики.
Крупные организации начали воспринимать открытые реестры как собственные сети доставки контента, бесконечно запрашивая одни и те же программные пакеты.
Как отметил технический директор Sonatype Брайан Фокс (Brian Fox), отвечающий за центральный Java-реестр Maven, в 82 процентах случаев нагрузку генерирует всего один процент IP-адресов.
Другими словами, инфраструктура, созданная на скромные пожертвования, вынуждена обрабатывать промышленные объёмы корпоративного трафика, работая на пределе возможностей.
Современная архитектура систем лишь усугубляет проблему. Конвейеры непрерывной интеграции, автоматические сборки и алгоритмы искусственного интеллекта взаимодействуют с реестрами с машинной скоростью, которая многократно превышает человеческую.
К этому добавляется стремительный рост бот-трафика, автоматизированных публикаций и откровенных злоупотреблений. Всё вместе породило то, что эксперты рабочей группы Linux Foundation называют «разрывом устойчивости»: расходы на поддержание общих цифровых благ начинают превышать возможности тех, кто их обеспечивает.
Открытые реестры пакетов давно перестали быть просто зеркалами для загрузки. Сегодня это критически важные операционные и защитные узлы, через которые проходит практически любая современная программная сборка.
Брайан Фокс подчёркивает: эти платформы уже давно не являются пассивными точками распространения, и если хотя бы один центральный реестр не выдержит из-за роста расходов, выгорания команд или успешной атаки, ударная волна мгновенно затронет не только сообщества открытого кода, но и банки, больницы, облачные сервисы и правительственные учреждения, которые редко задумываются о происхождении своих программных зависимостей.
Кристофер Робинсон (Christopher Robinson), технический директор и главный архитектор по безопасности Open Source Security Foundation, формулирует эту мысль ещё жёстче: реестры пакетов находятся на передовой безопасности и устойчивости всей цепочки поставок программного обеспечения.
Рост скорости потребления, частота публикаций и число атак заставляют пересматривать методы управления этой инфраструктурой. Сегодняшняя ситуация уже не ограничивается одним Maven Central — схожие проблемы наблюдаются во всех экосистемах, где увеличивается машинный трафик, растет автоматизация, ужесточаются требования к доступности и контролю, а вместе с ними множатся расходы и нагрузка на поддержку, при этом индустрия продолжает делать вид, что всё держится на энтузиазме и добровольном участии.
Осознав, что модель благотворительности себя исчерпала, ведущие участники рынка объединили усилия. Под эгидой Linux Foundation была сформирована Рабочая группа по устойчивому развитию реестров пакетов (Sustaining Package Registries Working Group).
Её миссия — разработать конкретные механизмы финансирования, управления и безопасности, которые смогут масштабироваться по мере увеличения числа загрузок. В инициативе участвуют Sonatype совместно с организациями Alpha-Omega, Eclipse Foundation с реестром OpenVSX, OpenJS Foundation, OpenSSF, Packagist, Python Software Foundation, Ruby Central с RubyGems и Rust Foundation с реестром Crates.
Основная задача этого альянса — предоставить операторам реестров нейтральную платформу для честного обсуждения вопросов финансирования, управления и распределения операционных нагрузок. А затем донести эту новую реальность до компаний и организаций, которые десятилетиями полагались на «бесплатность» реестров.
В Linux Foundation напоминают: сегодня вся работа держится на инфраструктурных пожертвованиях, кредитах и героических усилиях немногочисленных оплачиваемых команд и неоплачиваемых волонтеров, причем основная часть донорской помощи поступает от узкого круга спонсоров и совершенно не соответствует растущим запросам к реестрам.
