Реестры открытого исходного кода находятся в финансовом кризисе, предупредил соучредитель фонда безопасности открытого исходного кода Alpha-Omega Майкл Уинсер после проверки их финансовой отчётности. Он отметил, что дело не только в расходах на пропускную способность, которые их губят.

«Проблема в том, что у них недостаточно денег, чтобы тратить их на те самые функции безопасности, которые нам всем так необходимы, и перестать быть кучкой идиотов и устанавливать вредоносное ПО», — сказал Уинсер.

Alpha-Omega — проект Linux Foundation, направленный на обеспечение безопасности цепочки поставок открытого исходного кода.

На конференции FOSDEM Уинсер заявил, что доверенные реестры широко рассматриваются как ключевой компонент усилий по обеспечению безопасности цепочки поставок программного обеспечения на основе спецификации материалов (SBOM), одного из основных подходов, продвигаемых для защиты программного обеспечения с открытым исходным кодом. Однако многие из этих реестров работают с мизерной прибылью, полагаясь на непостоянное финансирование за счёт грантов, пожертвований и неденежных ресурсов.

Уинсер ещё в начале своей работы заметил, что все реестры открытого исходного кода находятся в крайне бедственном положении. Он�� сталкиваются с одной и той же проблемой: переживают экспоненциальный рост, хотя их инвестиции в инфраструктуру и персонал остаются неизменными.

«Мы живем в долг», — предупредил он.

«Одна из проблем, с которой сталкиваются люди, заключается в том, что они фактически смешивают программное обеспечение с открытым исходным кодом и инфраструктуру с открытым исходным кодом», — сказал Уинсер.

Само программное обеспечение с открытым исходным кодом является бесплатным, и его стоимость не увеличивается с ростом числа пользователей. Однако затраты реестров на хранение всех приложений и библиотек с открытым исходным кодом действительно продолжают расти с увеличением использования.

В 2025 году Alpha-Omega провела глубокое исследование работы некоторых крупнейших реестров, включая PyPI, npm для Node.js, Crates.io для Rust, RubyGems и Maven Central для Java-разработчиков. На первом месте оказалась пропускная способность, составляющая около 25% от общих расходов. За ней следуют хранение данных (18%), вычислительные ресурсы (15%) и борьба с вредоносным ПО (12%). Разработка новых функций едва достигает 2%, а документация даже не вошла в топ-10 по финансам.

Уинсер подсчитал, что содержание крупного реестра размером с Crates.io, который получает около 125 млрд загрузок в год, может обходиться в $5-8 млн в год. Эта цифра не включает существенные пожертвования на пропускную способность и инфраструктуру (например, Fastly для Crates.io). К ней добавляется растущая стоимость идентификации вредоносного ПО, распространение которого усиливается за счёт использования ИИ и скриптов. С 2019 по январь 2025 года эти репозитории обнаружили 845 тысяч таких пакетов (подавляющее большинство попало в npm).

В настоящее время на удаление вредоносных пакетов в среднем требуется 39 часов — этого более чем достаточно для распространения самовоспроизводящегося червя по экосистеме, как это произошло с Shai-Hulud в npm в сентябре.

Хорошая новость заключается в том, что «реестры фактически являются монополиями и владеют пространством имен», как выразился Уинсер. При этом, по его словам, «стоимость создания альтернативного, некачественного реестра фактически равна нулю».

Эксперт рассмотрел различные способы покрытия расходов, хотя, по его расчётам, ни один из них не может полностью их компенсировать.

Очевидным решением было бы начать взимать плату за пропускную способность. Кэширование и зеркалирование, хотя и снижают стоимость пропускной способности, не решают проблему. Как только реестр начнет взимать плату, другие организации, скорее всего, начнут кэшировать артефакты, предлагая их бесплатно.

В некоторых случаях расходы могут взять на себя организации: например, Fastly покрывает потребности реестра PyPI в пропускной способности для распространения копий более 700 тысяч пакетов Python (что составляет 747 ПБ в год при постоянной скорости 189 Гбит/с). В противном случае проекту пришлось бы выкладывать около $1,8 млн в месяц.

Однако больше всего Уинсера беспокоили не пропускная способность или хостинг, а функции безопасности, необходимые для обеспечения целостности контейнеров и пакетов.

По его словам, Alpha-Omega финансирует «удручающе» большой объё�� работ по обеспечению безопасности реестров. Это тревожно, потому что если Alpha-Omega сама пропустит раунд финансирования, многие реестры окажутся в затруднительном положении.

В число получателей премии Alpha-Omega входят Python Software Foundation, Rust Foundation, Eclipse Foundation, OpenJS Foundation и другие.

Уинсер предлагал и другие способы оплаты счетов, в том числе запуск магазина приложений. Однако этот подход сталкивается с рядом непосредственных проблем. Во-первых, сопровождающие пакеты захотят получать свою долю. Создание и поддержание платёжной инфраструктуры тоже повлечёт за собой дополнительные расходы. Кроме того, разработчики открытого исходного кода, вероятно, не будут согласны с какой-либо формой управления цифровыми правами, поэтому загружаемые ими контейнеры будут свободны от ограничений и их будет легко копировать.

По мнению Уинсера, те же проблемы возникнут и при модели подписки. Один человек может купить подписку на реестр, а затем поделиться данными для входа со своими друзьями.

Если же брать плату с разработчиков программного обеспечения с открытым исходным кодом, то реестр становится издателем. Это, как утверждал Уинсер, приведёт к тому, что немало проектов или компаний с проектами с открытым исходным кодом создадут свои собственные реестры, что вызовет фрагментацию сообщества. 

В качестве альтернативы можно добавить корпоративные функции, а затем взимать за них плату, что уже сработало для некоторых поставщиков услуг — таких как GitHub.

Тем не менее, корпорации не особо стремятся к корпоративным реестрам, отметил Уинсер. 

Слушатели предложили свои варианты решения проблемы. Так, один из них высказался в пользу рекламы.

Уинсер в итоге так и не предложил решения, а лишь предположил, что ключ к успеху — убедить корпоративных бухгалтеров рассматривать платные реестры как «обычные издержки ведения бизнеса и отражать их в операционных расходах, а не в бюджете на пожертвования офиса программ открытого исходного кода».