FOSDEM 2026: Бесплатное пиво — это здорово. Но обеспечение безопасности бочонка стоит денег. Реестры открытого ПО находятся в бедственном финансовом положении, несмотря на рост. — theregister.com
fosdem 2026 Соучредитель фонда безопасности открытого исходного кода предупредил о финансовой опасности, в которой оказались реестры открытого ПО, после изучения их финансовой отчетности. И дело не только в стоимости трафика, которая их разоряет.
«Проблема в том, что у них недостаточно средств для обеспечения тех функций безопасности, которые всем нам отчаянно нужны, чтобы перестать быть кучей идиотов и не устанавливать всякую ерунду, которая является вредоносным ПО», — сказал Майкл Винсер, соучредитель Alpha-Omega, проекта Linux Foundation, направленного на обеспечение безопасности цепочки поставок открытого исходного кода.
Винсер выступил на FOSDEM в этом году с докладом, на который мы заглянули виртуально.
Доверенные реестры широко рассматриваются как ключевой компонент усилий по обеспечению безопасности цепочки поставок в рамках Software Bill of Materials (SBOM) — одного из основных подходов, продвигаемых для защиты программного обеспечения с открытым исходным кодом. Правило первое: получайте пакеты с открытым исходным кодом из доверенного источника.
Однако многие из этих реестров работают с минимальной прибылью, полагаясь на непостоянное финансирование за счет грантов, пожертвований и ресурсов в натуральной форме.
Google и Microsoft выделили первоначальные 5 миллионов долларов на запуск Alpha-Omega в 2022 году в рамках Open Source Security Foundation.
И первое, что заметил Винсер, когда начал активно заниматься операционной деятельностью, — это то, что реестры открытого исходного кода абсолютно бедны. Все крупные реестры сталкиваются с одной и той же проблемой: они испытывают экспоненциальный рост, хотя их инвестиции в инфраструктуру и персонал остаются на прежнем уровне.
«Мы живем на грани», — предупредил он.
Скудные деньги на безопасность
«Одна из проблем, с которой сталкиваются люди, заключается в том, что они фактически смешивают программное обеспечение с открытым исходным кодом и инфраструктуру открытого исходного кода», — сказал Винсер.
Само программное обеспечение с открытым исходным кодом бесплатно для использования, и его стоимость не увеличивается с ростом числа пользователей. Однако затраты на реестры, хранящие все приложения и библиотеки с открытым исходным кодом, действительно растут с увеличением использования.
Пакеты никуда не исчезают. Коллекции становятся все больше и больше. А теперь еще и ИИ значительно ускоряет этот процесс.
В 2025 году Alpha-Omega провела глубокое исследование операций некоторых из крупнейших реестров, включая PyPI, npm для Node.js, Crates.io для Rust, RubyGems и Maven Central для Java.
Винсер создал шуточную версию игры Family Feud (поиграть здесь), чтобы помочь участникам FOSDEM угадать 10 крупнейших статей расходов этих реестров.
Естественно, трафик оказался статьей расходов №1, составив около 25% от общих расходов. Далее следовали хранение (18%), вычисления (15%) и борьба с вредоносным ПО (12%). Разработка новых функций едва достигла 2%, а документация даже не вошла в топ-10.
Винсер подсчитал, что для управления реестром размером с Crates.io, который ежегодно скачивается около 240 миллионов раз, потребуется 1 миллион долларов на персонал и 2 миллиона долларов на инфраструктуру. И эта стоимость может удвоиться к 2030 году.
К этому счету добавляются растущие расходы на выявление вредоносного ПО, распространение которого усилилось благодаря использованию ИИ и скриптов. С 2019 по январь 2025 года эти репозитории обнаружили 845 000 вредоносных пакетов (подавляющее большинство этих неприятных пакетов пришлось на npm).
Теперь на удаление вредоносных пакетов уходит в среднем 39 часов — этого более чем достаточно, чтобы самораспространяющийся червь распространился по экосистеме, как это произошло во время вспышки Shai-Hulud в npm в сентябре.
Обеспечьте безопасность
Хорошей новостью может быть то, что «Реестры — это эффективные монополии. Они владеют неймспейсом», как выразился Винсер.
Но как монополии, их позиции в лучшем случае шатки, потому что «стоимость создания альтернативного, паршивого реестра фактически равна нулю», — добавил он.
Винсер рассмотрел различные способы покрытия расходов, хотя ни один из них, по его расчетам, не мог полностью покрыть затраты.
Очевидным решением было бы начать взимать плату за трафик. Кеширование и зеркалирование, хотя и снижают затраты на трафик, не решают проблему. Как только реестр начнет взимать плату, другие организации, скорее всего, начнут кешировать артефакты, предлагая их бесплатно.
И они должны делать это в любом случае, отметил Винсер, на благо реестра. «Если вы не кешируете, вы чертов идиот», — сказал Винсер.
В некоторых случаях благотворительные организации могут покрывать эти расходы: например, потребности реестра PyPI Python в трафике для доставки копий своих более чем 700 000 пакетов (что составляет 747 ПБ в год при постоянной скорости 189 Гбит/с) субсидируются Fastly. В противном случае проекту пришлось бы выложить около 1,8 миллиона долларов в месяц.
Однако Винсера больше всего беспокоили не расходы на трафик или хостинг, а расходы на функции безопасности, необходимые для обеспечения целостности контейнеров и пакетов.
Alpha-Omega субсидирует «тревожно» большой объем работ по обеспечению безопасности вокруг реестров, сказал он. Это тревожно, потому что если бы сама Alpha-Omega пропустила раунд финансирования, многие реестры оказались бы в затруднительном положении.
Среди получателей средств Alpha-Omega значится Python Software Foundation, Rust Foundation, Eclipse Foundation, OpenJS Foundation для Node.js и jQuery, а также Ruby Central.
Пожертвования и членские взносы, безусловно, помогают покрыть расходы. Волонтеры выполняют большую часть работы, которая иначе была бы очень дорогостоящей. И есть гранты.
Винсер рассмотрел другие способы оплаты счетов. Как насчет запуска магазина приложений? Взимать по 0,99 доллара за пакет кажется вполне разумным, не так ли?
Однако этот подход сталкивается с несколькими непосредственными проблемами. Во-первых, разработчики пакетов захотят получить свою долю. Создание и поддержка платежной инфраструктуры повлечет за собой дополнительные расходы.
Кроме того, разработчики открытого исходного кода, вероятно, не будут в восторге от какой-либо формы управления цифровыми правами, поэтому загружаемые ими контейнеры будут свободны от ограничений и легко копироваться.
Любая попытка монетизировать монополию немедленно приведет к тому, что люди найдут обходные пути. «Они делали это снова и снова», — сказал Винсер.
Возвращаемся к началу.
По мнению Винсера, те же проблемы возникли бы и с моделью подписки. Один человек покупает подписку на реестр, а затем делится данными входа с друзьями, как это делают с учетными записями стриминговых сервисов.
Как насчет взимания платы с производителей программного обеспечения с открытым исходным кодом? По сути, реестр становится издателем. Винсер утверждал, что это заставит значительное количество проектов или компаний с открытыми проектами создать свои собственные сайты реестров, фрагментируя сообщество. И кто знает, каков будет их уровень безопасности.
Другой подход: добавить корпоративные функции, а затем взимать за них плату. Это сработало для некоторых поставщиков услуг — таких как GitHub — так почему бы не сработать и для реестров.
Тем не менее, корпорации не особо стремятся к корпоративным реестрам, отметил Винсер. И если они захотят платить за функции безопасности, то, вероятно, через поставщика услуг безопасности.
«У кого-нибудь есть лучшие идеи?» — риторически спросил Винсер толпу. Один из присутствующих предложил рекламу.
Винсер не предложил решения, хотя и предположил, что ключ к успеху заключается в том, чтобы убедить корпоративных бухгалтеров рассматривать платные реестры как «обычную статью расходов и включать их в операционные расходы, а не в бюджет пожертвований [офиса программного обеспечения с открытым исходным кодом]».
«У меня нет ответов», — признал он.
Цена бесплатного пива
Деньги — это редко обсуждаемый аспект открытого исходного кода. Ведь программное обеспечение должно быть как бесплатное пиво, верно?
Больницы, университеты и музеи — все некоммерческие организации, но они все равно взимают плату за услуги. Фактически, это хорошая практика; в противном случае люди будут злоупотреблять системой. Но в мире открытого исходного кода идея оплаты остается табу.
Открытое исходное ПО действительно может быть как бесплатное пиво, но никто не любит, когда их пенный лагер подают, наполненный паразитами и бактериями. Так может быть, нам всем стоит привыкнуть платить у барной стойки. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Joab Jackson