Jesu li održavatelji napustili vaš ključni alat otvorenog koda? Ovaj plan spašavanja nudi spas

Pratite ZDNET: Dodajte nas kao željeni izvor na Googleu.

Ključni podaci ZDNET-a za van

• EmeritOSS daje novi život za tri open-source projekta.
• Alat dodaje način za krpanje inače napuštenih programa.
• Dodat će se još projekata otvorenog koda ako bude potražnje.

Možda će vam biti teško povjerovati, ali postoje kritični programi otvorenog koda, kao što su Kubernetesov Ingress-NGINX, koji umire zbog nedostatka podrške. Sada, Chainguard, tvrtka za kibernetičku sigurnost usmjerena na osiguranje lanca nabave softvera, pojačava se s EmeritOSS održati takve programe na životu. EmeritOSS je usmjeren na stabilnost program koji čuva i osigurava zrele, popularne, ali neodržavane projekte otvorenog kodapočevši od Kaniko, Kubeapps i Ingress-NGINX.

‘Održivo upravljanje’

Chainguard opisuje EmeritOSS kao “održivo upravljanje zrelim otvorenim kodom”, ciljajući široko korištene projekte koji su dosegli funkcionalnu zrelost, ali su izgubili aktivne održavatelje ili su arhivirani. Cilj nije dodati nove značajke, već osigurati sigurno, predvidljivo održavanje, tako da organizacije mogu izvršavati kritična radna opterećenja dok planiraju migracije ili usvajaju tehnologije nasljednike.

Također: AI je već dio Linuxovih vodovoda – sviđalo se to programerima ili ne

EmeritOSS se fokusira na projekte koji ostaju duboko ugrađeni u proizvodna okruženja, gdje iznenadno arhiviranje ili napuštanje može stvoriti sigurnosni i operativni rizik. Chainguard pozicionira program kao model za dugoročnu održivost OSS-a, navodeći dugogodišnju zabrinutost zajednice o tome što se događa kada ključni održavači odstupe.

Također: Ova nova Linux platforma omogućit će vam ažuriranje vašeg sljedećeg automobila kod kuće – već 2027. godine

Pod EmeritOSS-om, Chainguard nudi nekoliko razina održavanja za odabrane arhivirane ili neodržavane projekte. Ovaj pristup uključuje stvaranje javnih forkova usmjerenih na stabilnost, ažuriranje ovisnosti i izdavanje novih izdanja s ispravcima ranjivosti. Tvrtka također dokumentira opseg podrške i razine usluga i, gdje je to prikladno, dodaje te projekte u svoj katalog očvrslih slika i Spremišta APK paketa temeljena na Wolfiju.

Mjere kontinuiteta

Tvrtka naglašava da ovi rezultati “nisu neprijateljski forkovi”, već mjere kontinuiteta koje poštuju izvorne održavatelje dok istovremeno štite daljnje korisnike. Račvasti kod ostaje besplatno dostupan u izvornom obliku na GitHubu, dok organizacije koje žele kontinuirano održavane slike spremnika ili pakete mogu ih nabaviti putem komercijalne distribucije Chainguarda.

Chainguard je pokrenuo ovaj program u lipnju 2025., nakon što je Google arhivirao Kaniko. Ovaj nekoć popularan alat omogućio je programerima da izgrade slike spremnika iz Dockerfilea unutar spremnika ili Kubernetes klastera. Kad ga je Google zatvorio, kupci Chainguarda rekli su tvrtki da im je promjena izazvala glavobolje. Taj je problem potaknuo Štitnik lanca za ulazak s Kaniko vilicom samo za održavanje koji isporučuje popravke uobičajenih ranjivosti i izloženosti (CVE) i ažuriranja ovisnosti tijekom tranzicije timova.

Također: Popravak za neuredne ekosustave AI agenata mogao bi konačno biti ovdje – i otvorenog je koda

Sada je dodan štitnik lanca Kubeappskoji pruža grafičku nadzornu ploču za implementaciju i upravljanje aplikacijama na Kubernetes klasterima, i Ingress-NGINX, koji usmjerava vanjski HTTP i HTTPS promet u usluge koje se izvode unutar klastera, kao polaznici EmeritOSS-a. Tvrtka oba opisuje kao “voljene alate,” čiji korisnici zahtijevaju stalnu podršku.

Apsorbira nepotrebne rizike

Tvrtka tvrdi da bez predvidljivog puta za zrele projekte da prijeđu na sigurno, dugoročno upravljanje, ekosustav apsorbira nepotreban rizik, uključujući nezakrpane ranjivosti i krhke cjevovode. EmeritOSS nadopunjuje Chainguardov postojeći rad na sigurnim osnovnim slikama, Wolfiju i sigurnosnim inicijativama, kao što su Sigstore dežurstva rotacije i financiranje za GitHub Secure Open Source Fund.

Gledajući unaprijed, organizacije koje se oslanjaju na arhivirane ili neodržavane projekte mogu ih poslati Chainguardu na razmatranje putem online obrasca. Chainguard kaže da će nastaviti dodavati novake tamo gdje postoji jasna, stalna potražnja i gdje model koji se temelji samo na stabilnosti ima smisla, naglašavajući da je njegov posao održavati te projekte “sigurno u tom stanju”, a ne razvijati ih.

Nažalost, dokazi pokazuju da postoji mnogo takvih programa. Nedavno otvoreno pismo koje je potpisalo 10 zaklada otvorenog koda istaknuo da “Većina ovih [open source] sustavi rade pod opasno krhkom premisom: često se održavaju, upravljaju i financiraju na načine koji se oslanjaju na dobru volju, a ne na mehanizme koji povezuju odgovornost s upotrebom.”

Također: Zašto ljudi i dalje hrle u Linux 2025. (i to ne samo da bi pobjegli od Windowsa)

Danas, nastavile su zaklade, “mali broj organizacija apsorbira većinu infrastrukturnih troškova, dok velika većina velikih korisnika, uključujući komercijalne subjekte koji stvaraju potražnju i izvlače ekonomsku vrijednost, konzumira te usluge bez doprinosa njihovoj održivosti.

Podijeljena odgovornost

Kao suosnivač i izvršni direktor Chainguarda, Dan Lorenc objasnio je u kolumni u Novi stack:

Trebamo način na koji održavatelji otvorenog koda graciozno predaju “gotove” projekte čak i kada više nemaju značajnu mapu puta. Moramo im ponuditi mjesto gdje:

• Zreli projekti mogu prijeći s pojedinačnih održavatelja na pouzdanu organizaciju odgovornu za dugoročno upravljanje.
• CVE-ovi se stalno krpaju, čak i bez rada na novim značajkama.
• Ponovljivost i povjerenje ostaju, bez tjednih obaveza.

Ova diploma trebala bi signalizirati da je projekt stabilan, vrijedan i spreman za dug život podržan zajedničkom odgovornošću.

Lorenc je u pravu. Ne možemo dopustiti da vitalni projekti propadaju bez dugoročne podrške. Chainguard poduzima korak naprijed u poboljšanju ovog upornog problema otvorenog koda s EmeritOSS-om.