Pratite ZDNET: Dodajte nas kao željeni izvor na Googleu.
Sadržaj objave
Ključni podaci ZDNET-a za van
- Repozitoriji otvorenog koda propadaju pod pritiskom od 10 trilijuna preuzimanja godišnje.
- Sva glavna spremišta udružuju se kako bi riješila ovaj problem.
- Iako je nedostatak sredstava glavni dio problema, treba se pozabaviti drugim pitanjima.
Svijet radi na softveru otvorenog koda. Svi to znamo. No jeste li znali da tvrtke svake godine preuzmu više od 10 bilijuna (to je bilijun s T) datoteka otvorenog koda? Prema pružatelju softverske sigurnosti Sonatype, oni to rade – a web-mjesta za skladištenje datoteka koja dostavljaju taj kod izgaraju zbog potražnje.
Kao Sonatip CTO Brian Fox, koji nadgleda Maven središnji Java registarrekao mi je ranije ove godine, Maven je u opasnosti da bude preplavljen stalnim preuzimanjima. Fox i tvrtka otkrili su da 82% potražnje dolazi od samo 1% IP-ova. To je zato što tvrtke koriste repozitorije otvorenog koda kao da su mreže za isporuku sadržaja (CDN).
Također: 98% IT čelnika želi digitalni suverenitet: Sada ga SUSE operacionalizira za tvrtke posvuda
Na primjer, jedna tvrtka može preuzeti isti kod stotine tisuća puta u jednom danu, i sljedećem danu, i sljedećem. Što neprofitno spremište otvorenog koda može učiniti?
Suočeni smo s rizikom otpornosti opskrbnog lanca
Ljudi koji ih vode konačno govore, kolektivno, “Ovo ne može zauvijek ostati dobrotvorna organizacija.” Sada, ispod Linux Foundationnova Radna skupina za registre paketa za održavanje nastojat će identificirati konkretne prakse financiranja, upravljanja i sigurnosti kako bi se omogućio protok koda kako broj preuzimanja raste.
Sve je počelo s problemom skaliranja. U posljednjih nekoliko godina potrošnja i objavljivanje u javnim registrima paketa narasli su do ludih razina. Tih 10 trilijuna preuzimanja? To je duplo više od Googleovih godišnjih upita za pretraživanje, a za razliku od Googlea, web-mjesta otvorenog koda to rade vrlo malo.
Evo problema: budući da softverske verzije, kontinuirani integracijski cjevovodi i AI sustavi udaraju registre brzinom stroja, a ne brzinom čovjeka, stranice ne mogu pratiti. Taj je rast doveo do porasta prometa robota, automatiziranog objavljivanja, sigurnosnih izvješća i izravne zloupotrebe, razotkrivajući ono što radna skupina otvoreno naziva “jazom održivosti”. Drugim riječima, sada se suočavamo s rizikom otpornosti lanca opskrbe, a ne samo s računom za hosting.
Također: Nova pravila za kod potpomognut umjetnom inteligencijom u jezgri Linuxa: Što svaki programer treba znati
Kao što je Fox objasnio, “Registri otvorenog koda više nisu pasivne distribucijske točke. Oni su operativni i sigurnosno kritični sustavi koji stoje na putu gotovo svake moderne softverske verzije. Ako želimo da lanac nabave softvera ostane otporan, potreban nam je ozbiljan razgovor o tome kako se te platforme financiraju, upravljaju i održavaju na globalnoj razini. Vrijeme je da održivost registra tretiramo kao zajedničku odgovornost u softverskoj industriji.”
Registrske stranice su više od ogledala za preuzimanje
Ima pravo. Web-mjesta registara otvorenog koda više nisu jednostavna ogledala za preuzimanje. To su sigurnosno kritični sustavi koji se nalaze izravno na putu gotovo svake moderne verzije softvera. Ako bilo koji od središnjih registara zataji, bilo zbog troškova, iscrpljenosti ili uspješnog napada, radijus eksplozije bi se proširio daleko izvan zajednica otvorenog koda u banke, bolnice, oblake i vlade koje rijetko razmišljaju o tome odakle dolaze njihove ovisnosti o kodu.
Christopher Robinson, tehnički direktor i glavni sigurnosni arhitekt u Open Source Security Foundation (OpenSSF), dodao je: “Registri paketa nalaze se na prvim linijama sigurnosti i otpornosti lanca opskrbe softvera. Kako se tempo potrošnje, objavljivanja i aktivnosti napada ubrzava, mora se razvijati i upravljanje ovim sustavima. Ova će inicijativa biti važno mjesto za voditelje registara i dionike ekosustava da se usklade na praktične načine orijentirane zajednici kako bi održali infrastrukturu o kojoj ovisi moderni softver.”
Također: Microsoft je konačno otvorio izvorni kod DOS 1.0 – i to je mnogo više od koda
“Ovo je veće od bilo kojeg registra“, primijetio je Fox. “Ono što je počelo kao operativna stvarnost na Maven Centralu više nije najbolje razumjeti kao priču o Maven Centralu. Isti se obrazac pojavljuje u svim ekosustavima. Više strojnog prometa. Više automatizacije. Više skeniranja. Više očekivanja u vezi s radnim vremenom, integritetom, porijeklom i provedbom pravila. Više troškova. Veći teret podrške. Veća ovisnost o infrastrukturi o kojoj industrija još uvijek govori kao da radi na dobroj volji i slobodnom vremenu.” Upozorenje za spojler: Nije.
Kako bi se uhvatio u koštac s tim, Sonatype se udružio s Linux Foundationom i drugim voditeljima registra paketa, uključujući Alpha-Omega, Eclipse Foundation (OpenVSX), OpenJS Foundation, OpenSSF, Packagist, Python Software Foundation, Ruby Central (RubyGems) i Rust Foundation (Crates). Ideja je operaterima dati neutralan forum za otvorenu raspravu o novcu, upravljanju i zajedničkim operativnim teretima. Nakon što se to riješi, oni će koordinirati kako objasniti tu stvarnost tvrtkama i organizacijama koje su dugo smatrale da su registri “besplatni”. Ne, nisu. Nikad nisu ni bili.
Kao što je Linux Foundation istaknuo, “Registri se danas prvenstveno temelje na dvije stvari: (1) donacijama i kreditima za infrastrukturu; i (2) herojskim naporima malih plaćenih timova (i sami se financiraju donacijama i grantovima) i neplaćenih volontera koji upravljaju i održavaju usluge registra. Većina donacija i grantova dolazi od malog skupa donatora i ne mjeri se sa zahtjevima registra.”
Repozitoriji trebaju više od gotovine
Radna grupa je izričito pozicionirana kao mjesto gdje se voditelji registra i dionici ekosustava mogu uskladiti oko “praktičnih, zajedničkih” načina za održavanje te infrastrukture, umjesto da svaki operater improvizira vlastiti plan preživljavanja u izolaciji.
Dok repozitoriji otvorenog izvornog koda očajnički trebaju više novca kako bi zadovoljili potražnju, ne radi se samo o novcu. Potrebno je riješiti niz drugih zahtjeva. Ovo su:
Također: Kako je AI odjednom postao mnogo korisniji programerima otvorenog koda
- Ekonomska održivost: Razvijte modele financiranja koji zapravo mogu pokriti infrastrukturu, operacije, održavatelje i upravljanje, umjesto da se oslanjate na herojsko volonterstvo plus nekoliko korporativnih logotipa.
- Kolektivna obrana: Koordinirajte sigurnosne prakse i dijeljenje informacija između registara kako bi mogli brže otkriti i odgovoriti na prijetnje dok napadači automatiziraju i skaliraju vlastitu aktivnost.
- Omogućenje upravljanja: Izradite okvire zajedničke politike i standardizirane uvjete koji politički i pravno čine mogućim uvođenje održivih modela financiranja bez lomljenja zajednica.
- Obrazovanje i transparentnost ekosustava: Uskladite razmjenu poruka i obrazovni sadržaj tako da programeri, tvrtke i kreatori politika konačno shvate koliko košta pokretanje ovih usluga i zašto “beskonačna besplatna preuzimanja zauvijek” nikada nisu bili realan plan
Neke grupe već se bave ovim problemima, ali nijedna nema pravila i ljude za sve njih. Nadamo se da će zajedničkim radom razviti okvir koji će moći koristiti svi repozitoriji, a da svi ne moraju ponovno izmišljati kotač.
Također: Isprobao sam novi Linux Mint 22.3 – to je masterclass u poliranju i popravcima kvalitete života
Podrška repozitorija otvorenog izvornog koda postala je kritično pitanje za sve u softverskom poslovanju. Međutim, donedavno je bio nevidljiv. Nemamo više luksuza pretpostaviti da će volonteri držati otvorena vrata knjižnica otvorenog koda. Ove stranice moraju imati našu podršku ili ćemo svi imati problema s razvojem, izgradnjom i izvođenjem programa koji su našim tvrtkama potrebni da bi zadržali svjetlo.