Организация OpenSSF (Open Source Security Foundation, создана для объединения работы представителей индустрии в области повышения безопасности открытого ПО) представила на обсуждение открытое письмо, которое подписали разработчики репозиториев PyPI, crates.io, Packagist, Open VSX и Maven Central. В документе поднят вопрос финансирования проектов Open Source для сохранения устойчивости инфраструктуры.
В письме OpenSSF описаны проблемы с сохранением устойчивости инфраструктуры при нынешних моделях финансирования и использования репозиториев. Последнее время нагрузка на репозитории увеличивается экспоненциально, но рост финансирования работы по сопровождению в лучшем случае имеет линейный характер. Отмечается, что ситуация с финансированием пока не достигла кризиса, но статус‑кво больше не может сохраняться и наступил критический переломный момент, требующий изменений.
По информации OpenNET, проблема в том, что многие коммерческие компании рассматривают общедоступные репозитории как бесплатный и неограниченно масштабируемый ресурс для решения своих задач, при том, что финансирование репозиториев осуществляется отдельными компаниями‑спонсорами или некоммерческими организациями, зависящими от грантов и пожертвований. Некоторые компании злоупотребляют общедоступными репозиториями и используют их в качестве сети доставки контента (CDN) для распространения бинарных компонентов, SDK и пакетов, работающих только в составе платного продукта; флудят запросами из автоматизированных CI‑систем и систем сборки контейнеров; применяют ресурсоёмкие сканеры зависимостей.
При этом часто компании не задумываются о влиянии своей деятельности на инфраструктуру репозиториев и не пытаются реализовать оптимизации, ограничить интенсивность потока запросов или кэшировать загружаемые пакеты. Всё это создаёт огромную нагрузку на инфраструктуру, которая усугубляется растущей активностью AI‑ботов.
Постоянное финансирование проектов Open Source является критическим фактором поддержания стабильности и устойчивости функционирования репозиториев, от которых зависит огромное число программных продуктов и проектов. Каждый сбой в работе репозитория приводит к невозможности загрузить необходимые приложениям зависимости, а также к коллапсу процессов разработки, систем непрерывной интеграции и сборочных инфраструктур. Сложилась ситуация, при которой отдельные организации несут основную часть затрат на инфраструктуру, в то время как большинство крупных потребителей, среди которых коммерческие компании, извлекают выгоду и используют сервисы, не внося свой вклад в поддержание их работы. Общедоступные репозитории превращаются в бесплатные глобальные сети доставки контента для коммерческих производителей.
Коммерческое использование репозиториев Open Source в промышленных масштабах без коммерческой поддержки нежизнеспособно и инфраструктура открытого ПО в таких условиях не может бесконечно масштабироваться на одном энтузиазме. Подписавшие открытое письмо разработчики репозиториев выступают за сохранение бесплатного и общедоступного характера предоставляемых сервисов, но предлагают для поддержания устойчивости критически важных инфраструктур создать устойчивые модели финансирования, масштабируемые по мере роста нагрузки и применяемые вместо моделей, завязанных на неформальную и непостоянную поддержку.
Для сохранения доступности открытой инфраструктуры и её развития в OpenSSF рассматриваются такие меры, как:
введение дополнительных платных возможностей, например, предоставление расширенной платной статистики;
коммерческое сотрудничество, помогающее финансировать поддержание инфраструктуры пропорционально создаваемой нагрузке или в обмен на стратегические преимущества;
многоуровневые модели доступа, сохраняющие открытость для обычных пользователей, но вводящие платные опции для тех, кому требуется повышенная надёжность, расширенная пропускная способность и большой объём трафика.
Помимо участия в финансировании, крупным пользователям репозиториев в OpenSSF предлагается пересмотреть сложившуюся практику для сокращения избыточного трафика и внедрить механизмы кэширования. Разработчикам сборочных систем, фреймворков и сканеров безопасности рекомендуют учесть влияние настроек и поведения продуктов на инфраструктуру репозиториев, исключить излишние запросы, упростить применение прокси и документировать методы оптимизации для снижения нагрузки.
Источник: habr.com