Мнение Я нахожусь на Саммите членов Linux Foundation, и технический директор Sonatype Брайан Фокс познакомил меня с новой проблемой в сфере открытого исходного кода. Я бы не подумал, что такое возможно, но вот я здесь.
Фокс, который также курирует Apache Maven, популярный инструмент сборки для Java, объяснил, что его репозиторий находится под угрозой перегрузки из-за постоянных запросов Git pull. Команда изучила этот вопрос и обнаружила, что 82 процента запросов поступает менее чем с 1 процента IP-адресов. Углубившись, они выяснили, что многие компании используют репозитории открытого исходного кода так, словно это сети доставки контента (CDN). Например, одна и та же компания может загружать один и тот же код сотни тысяч раз в день, и на следующий день, и на последующие. Это неустойчиво.
Поэтому Maven и другие репозитории открытого исходного кода рассматривают возможность введения многоуровневой системы оплаты. Одиночные разработчики и небольшие группы по-прежнему смогут загружать код бесплатно, но “прожорливые” пользователи будут вынуждены платить за каждую загрузку. Другими словами, программное обеспечение с открытым исходным кодом остается бесплатным в смысле свободы слова (free as in speech), но о бесплатности в смысле “бесплатного пива” (free as in beer) в будущем можно забыть.
Насколько это серьезно? Фокс сообщил, что в прошлом году основные репозитории обработали 10 триллионов загрузок. Это вдвое больше ежегодных поисковых запросов Google, если считать из дома, а они работают на минимальном бюджете. Фокс охарактеризовал это как “трагедию общин”, где предположение о “бесплатных и бесконечных” ресурсах приводит к структурным потерям, усугубляемым конвейерами CI/CD, сканерами безопасности и генерацией кода на основе ИИ.
Компании могут полагать, что могут рассчитывать на “бесплатную и бесконечную” инфраструктуру, тогда как в реальности расходы на пропускную способность, хранение данных, персонал и соблюдение нормативных требований растут.
Фокс представил данные, показывающие, что 82 процента потребления Maven Central приходится менее чем на 1 процент мировых IP-адресов, при этом 80 процентов трафика исходит от трех крупнейших гиперскейлеров. Что еще более проблематично, “IP-адреса не представляют людей. Они даже не организации. Они эфемерны. Они вроде погоды”, — объяснил Фокс в интервью, отмечая проблемы, связанные с контейнерами, NAT-прокси и облачными исходящими IP-адресами. В одном случае команда из 60 разработчиков из универмага сгенерировала больше трафика, чем все пользователи кабельных модемов по всему миру вместе взятые, из-за неправильно настроенных сборок React Native, которые обходили их менеджер репозитория Nexus.
Он привел крайние примеры, например, крупные организации, загружающие одни и те же 10 000 компонентов по миллиону раз каждый месяц. “Это абсурд”, — сказал Фокс. Попытки ограничения трафика приводили к “кратковременным отключениям” через ошибки 429, но шаблоны мутировали, превращая ситуацию в игру в “Угадай-ка”, особенно учитывая, что большая часть потребления происходит без участия человека и незаметно.
Реестры также обременены коммерческим использованием, когда компании публикуют закрытые компоненты или массивные SDK в качестве бесплатных CDN. Фокс отметил, что ведущие издатели ежедневно выпускают артефакты размером в гигабайты, в отличие от типичных проектов с открытым исходным кодом.
В сентябре 2025 года реестры опубликовали открытое письмо через OpenSSF с призывом к “многоуровневым моделям доступа”, чтобы сохранить бесплатность для энтузиастов и открытого исходного кода, но обязать вносить вклад пользователей с большим объемом загрузок. “Это важная часть: это должно стать обязательным, а не добровольным”, — подчеркнул Фокс. Благотворительность в сфере открытого исходного кода — неустойчивая модель.
Бизнес рассматривал репозитории открытого исходного кода как бесплатную, бесконечную инфраструктуру. Это нонсенс. Реальность такова, что затраты на пропускную способность, хранение данных, персонал и соблюдение нормативных требований постоянно растут. В частности, как говорилось в письме, “Коммерческое использование в промышленных масштабах без коммерческой поддержки в промышленных масштабах неустойчиво”. Фонды открытого исходного кода не успевают за спросом на быстрое разрешение зависимостей, подписанные пакеты, нулевое время простоя и быстрое реагирование на атаки на цепочки поставок — не говоря уже о надвигающихся нормативных требованиях, таких как Акт ЕС об устойчивости киберпространства.
Фокс ожидает, что реестры начнут внедрение в следующем квартале: “Мы опубликовали открытое письмо еще в октябре… разные экосистемы разработали модели, которые, по их мнению, сработают”. К приятному удивлению, реакция была положительной. Организации, столкнувшиеся с ограничением трафика, были “удивлены и извинялись”, ошибочно принимая проблемы за злонамеренность, а не за “невежество, неосведомленность”.
Как говорится, никогда не приписывайте злому умыслу то, что можно объяснить глупостью. Или, как сказал Майкл Уинсер, соучредитель Alpha-Omega, проекта Linux Foundation по обеспечению безопасности цепочки поставок открытого исходного кода, на FOSDEM: “Если вы не используете кэширование, вы чертов идиот”. Аминь, брат!
Поскольку использование репозиториев, управляемое ИИ, взрывообразно растет, Фокс настоятельно призвал проверять счета, использовать кэширующие прокси и избегать тестов на каждый коммит. Он ищет поддержки: “Нам нужна ваша помощь, чтобы вы подтянулись… чтобы, когда мы выйдем к остальному дикому миру… вам пришлось платить за то, чтобы продолжать делать то, что вы делали”.
Но это еще не все! Помимо простого перегружения постоянными запросами на загрузку, Уинсер сказал: “Люди смешивают программное обеспечение с открытым исходным кодом и инфраструктуру открытого исходного кода“. Да, ПО с открытым исходным кодом бесплатно, но стоимость реестров для размещения всех приложений и библиотек с открытым исходным кодом продолжает расти с увеличением использования.
Дело не только в пропускной способности и хранении данных. Уинсер также отметил, что у репозиториев “недостаточно денег, чтобы тратить их на те самые функции безопасности, которые нам всем отчаянно нужны, чтобы перестать быть сборищем идиотов и устанавливать вредоносное ПО, когда это малварь”.
Как сказал Роберт А. Хайнлайн: “Бесплатного обеда не бывает”. Настал час расплаты за наше неразумное использование общего достояния открытого исходного кода. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Steven J. Vaughan-Nichols
