Проблема в том, что многие коммерческие компании рассматривают общедоступные репозитории как бесплатный и неограниченно масштабируемый ресурс для решения своих задач, при том, что финансирование репозиториев осуществляется отдельными компаниями-спонсорами или некоммерческими организациями, зависящими от грантов и пожертвований. Некоторые компании злоупотребляют общедоступными репозиториями и используют их в качестве сети доставки контента (CDN) для распространения бинарных компонентов, SDK и пакетов, работающих только в составе платного продукта; флудят запросами из автоматизированных CI‑систем и систем сборки контейнеров; применяют ресурсоёмкие сканеры зависимостей.
При этом часто компании не задумываются о влиянии своей деятельности на инфраструктуру репозиториев и не пытаются реализовать оптимизации, ограничить интенсивность потока запросов или кэшировать загружаемые пакеты. Всё
это создаёт огромную нагрузку на инфраструктуру, которая усугубляется растущей активностью AI-ботов.
Постоянное финансирование является критическим фактором поддержания стабильности и устойчивости функционирования репозиториев, от которых зависит огромное число программных продуктов и проектов. Каждый сбой в работе репозитория приводит к невозможности загрузить необходимые приложениям зависимости, а также к коллапсу процессов разработки, систем непрерывной интеграции и сборочных инфраструктур. Сложилась ситуация, при которой отдельные организации несут основную часть затрат на инфраструктуру, в то время как большинство крупных потребителей, среди которых коммерческие компании, извлекают выгоду и используют сервисы, не внося свой вклад в поддержание их работы. Общедоступные репозитории превращаются в бесплатные глобальные сети доставки контента для коммерческих производителей.
Коммерческое использование репозиториев в промышленных масштабах без коммерческой поддержки нежизнеспособно и инфраструктура открытого ПО в таких условиях не может бесконечно масштабироваться на одном энтузиазме. Подписавшие открытое письмо разработчики репозиториев выступают за сохранение бесплатного и общедоступного характера предоставляемых сервисов, но предлагают для поддержания устойчивости критически важных инфраструктур создать устойчивые модели финансирования, масштабируемые по мере роста нагрузки и применяемые вместо моделей, завязанных на неформальную и непостоянную поддержку.
Для сохранения доступности открытой инфраструктуры и её развития рассматриваются такие меры, как:
- введение дополнительных платных возможностей, например, предоставление расширенной платной статистики;
- коммерческое сотрудничество, помогающее финансировать поддержание инфраструктуры пропорционально создаваемой нагрузке или в обмен на стратегические преимущества;
- многоуровневые модели доступа, сохраняющие открытость для обычных пользователей, но вводящие платные опции для тех, кому требуется повышенная надёжность, расширенная пропускная способность и большой объём трафика.
Помимо участия в финансировании, крупным пользователям репозиториев предлагается пересмотреть сложившуюся практику для сокращения избыточного трафика и внедрить механизмы кэширования. Разработчикам сборочных систем, фреймворков и сканеров безопасности рекомендуют учесть влияние настроек и поведения продуктов на инфраструктуру репозиториев, исключить излишние запросы, упростить применение прокси и документировать методы оптимизации для снижения нагрузки.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63959
(opennet.ru, основная лента)
