Репозитории с открытым исходным кодом перестают справляться с 10 трлн загрузок в год

В Sonatype подсчитали, что компании ежегодно скачивают более 10 трлн файлов с открытым исходным кодом. В итоге опенсорсные репозитории и хранилища столкнулись с беспрецедентной нагрузкой.

Технический директор Sonatype Брайан Фокс, курирующий центральный Java-реестр Maven, отмечает, что Maven находится под постоянной угрозой перегрузки. Фокс и его коллеги обнаружили, что 82% спроса приходится всего на 1% IP-адресов. Это происходит потому, что компании используют репозитории с открытым исходным кодом как сети доставки контента (CDN). Например, одна компания может скачивать один и тот же код сотни тысяч раз в день. 

Теперь, под эгидой Linux Foundation, новая рабочая группа по поддержке реестров пакетов будет стремиться определить конкретные методы финансирования, управления и обеспечения безопасности, чтобы поддерживать поток кода по мере роста числа загрузок.

Отмечается, что 10 трлн загрузок — это вдвое больше, чем количество поисковых запросов в Google за год.

Поскольку сборки программного обеспечения, конвейеры непрерывной интеграции и системы искусственного интеллекта обрабатывают реестры со скоростью машин, а не людей, сайты не справляются. Этот рост привёл к всплеску бот-трафика, автоматической публикации, сообщений о безопасности и откровенных злоупотреблений, выявив проблему «пробега устойчивости». Как объяснил Фокс: «Реестры открытого исходного кода больше не являются пассивными точками распространения. Это операционные и критически важные с точки зрения безопасности системы, находящиеся на пути практически каждой современной сборки программного обеспечения. Если мы хотим, чтобы цепочка поставок программного обеспечения оставалась устойчивой, нам необходимо серьёзно обсудить, как эти платформы финансируются,