- Реестры открытого исходного кода испытывают серьёзный финансовый дефицит, что затрудняет внедрение базовых мер безопасности.
- Основные расходы реестров связаны с пропускной способностью, хранением данных и борьбой с вредоносным ПО, на разработку новых функций средств практически не хватает.
- Попытки внедрить платные модели финансирования сталкиваются с множеством проблем, угрожающих целостности и единству экосистемы открытого ПО.
На конференции FOSDEM 2026 Майкл Уинсер, соучредитель фонда Alpha-Omega, проекта Linux Foundation, направленного на безопасность цепочки поставок открытого исходного кода, заявил о серьёзном финансовом кризисе в сфере реестров открытого ПО. Анализ финансовых отчётов крупных реестров показал, что их доходы недостаточны для обеспечения даже базовых функций безопасности — в результате это ставит под угрозу защиту всей экосистемы.
По словам Уинсера, проблема не ограничивается только затратами на пропускную способность, которые хотя и составляют до четверти расходов, но не являются единственным источником кризиса. Растущие затраты на хранение данных, вычислительные ресурсы и самое главное — борьбу с вредоносным программным обеспечением создают значительную финансовую нагрузку. При этом финансирование зачастую носит нестабильный характер, основанное на грантах и пожертвованиях, а инвестиции в развитие инфраструктуры и персонала остаются на прежнем уровне, несмотря на экспоненциальный рост загрузок. К примеру, только содержание крупного реестра Crates.io обходится в $5-8 млн в год, без учёта сторонних пожертвований и поддержки пропускной способности.
Эксперт подчеркнул, что реестры открытого кода зачастую выступают в роли монополистов, обладающих контролем над пространством имён, однако создание альтернативных посредственных решений фактически не требует вложений, что создаёт риск фрагментации и ослабления экосистемы.
Уинсер рассмотрел различные модели покрытия расходов, включая плату за пропускную способность, подписки и магазины приложений, однако каждая из них сталкивается с опасениями по поводу сложности реализации, возможного сопротивления сообщества и риска раздробленности. Например, платные подписки могут быть легко скомпрометированы, а взимание платы с разработчиков превращает реестр в издателя, что чревато появлением конкурирующих реестров.
Также обсуждалась возможность введения корпоративных функций с последующим монетизированием, что уже сделано некоторыми игроками рынка, однако интерес корпораций к таким сервисам остаётся ограниченным.
В контексте борьбы с вредоносным ПО становится все явственнее, что без надлежащего финансирования функционал защиты не сможет эффективно противостоять распространению зараженных пакетов, как это уже случалось в экосистемах, например, с инцидентом Shai-Hulud в npm.
В завершение выступления Уинсер отметил, что найти универсальное решение непросто, и ключевой задачей является убедить организации учитывать расходы на реестры в операционных затратах, а не полагаться на нестабильное финансирование. Это позволит улучшить безопасность и устойчивость реестров без ущерба для принципов открытого программного обеспечения.
