Организация OpenSSF подняла вопрос финансирования проектов Open Source для сохранения устойчивости инфраструктуры

Организация OpenSSF (Open Source Security Foundation, создана для объединения работы представителей индустрии в области повышения безопасности открытого ПО) представила на обсуждение открытое письмо, которое подписали разработчики репозиториев PyPI, crates.io, Packagist, Open VSX и Maven Central. В документе поднят вопрос финансирования проектов Open Source для сохранения устойчивости инфраструктуры.

В письме OpenSSF описаны проблемы с сохранением устойчивости инфраструктуры при нынешних моделях финансирования и использования репозиториев. Последнее время нагрузка на репозитории увеличивается экспоненциально, но рост финансирования работы по сопровождению в лучшем случае имеет линейный характер. Отмечается, что ситуация с финансированием пока не достигла кризиса, но статус‑кво больше не может сохраняться и наступил критический переломный момент, требующий изменений.

По информации OpenNET, проблема в том, что многие коммерческие компании рассматривают общедоступные репозитории как бесплатный и неограниченно масштабируемый ресурс для решения своих задач, при том, что финансирование репозиториев осуществляется отдельными компаниями‑спонсорами или некоммерческими организациями, зависящими от грантов и пожертвований. Некоторые компании злоупотребляют общедоступными репозиториями и используют их в качестве сети доставки контента (CDN) для распространения бинарных компонентов, SDK и пакетов, работающих только в составе платного продукта; флудят запросами из автоматизированных CI‑систем и систем сборки контейнеров; применяют ресурсоёмкие сканеры зависимостей.

При этом часто компании не задумываются о влиянии своей деятельности на инфраструктуру репозиториев и не пытаются реализовать оптимизации, ограничить интенсивность потока