Кризис невидимой инфраструктуры
По оценкам специалистов по безопасности из компании Sonatype, ежегодно компании скачивают файлы с открытым кодом более десяти триллионов раз. Сайты-хранилища сегодня оказались под ударом лавинообразного спроса, который грозит обернуться коллапсом для всей цифровой экономики.
Крупные компании начали воспринимать открытые реестры как собственные сети доставки контента, без остановки запрашивая одни и те же программные пакеты.
Как рассказал технический директор Sonatype Брайан Фокс (Brian Fox), курирующий центральный Java-реестр Maven, в 82 процентах случаев нагрузка создается всего лишь одним процентом IP-адресов.
Иными словами, инфраструктура, построенная на скромные пожертвования, вынуждена обслуживать промышленные объемы корпоративного трафика, работая на износ.
Природа современных систем усугубляет ситуацию. Конвейеры непрерывной интеграции, автоматические сборки и алгоритмы искусственного интеллекта обращаются к реестрам с машинной скоростью, многократно превышающей человеческую.
К этому добавляется взрывной рост бот-трафика, автоматизированных публикаций и откровенных злоупотреблений. Все вместе это создало то, что эксперты рабочей группы Linux Foundation называют «разрывом устойчивости», когда расходы на поддержание общих цифровых благ отрываются от возможностей тех, кто их содержит.
Угроза, выходящая за рамки счетов за хостинг
Открытые реестры пакетов давно переросли статус простых зеркал для скачивания. Сегодня это критически важные операционные и защитные узлы, через которые проходит практически каждая современная программная сборка.
Брайан Фокс подчеркивает: пассивными точками распространения эти платформы не являются уже давно, и если хотя бы один центральный реестр дрогнет под натиском расходов, выгорания команд или успешной атаки, ударная волна мгновенно накроет не только сообщества открытого кода, но и банки, больницы, облачные сервисы и правительственные учреждения, редко задумывающиеся о происхождении своих программных зависимостей.
Кристофер Робинсон (Christopher Robinson), технический директор и главный архитектор по безопасности Open Source Security Foundation, формулирует эту мысль еще резче: реестры пакетов находятся на передовой безопасности и устойчивости всей цепочки поставок программного обеспечения.
Ускорение темпов потребления, публикаций и атак требует эволюции подходов к управлению этой инфраструктурой. Нынешняя ситуация более не является историей одного Maven Central — идентичные симптомы проявляются во всех экосистемах, где растет машинный трафик, автоматизация, требования к доступности и политики контроля, а вместе с ними множатся расходы и поддержка, тогда как индустрия по-прежнему делает вид, что все держится на доброй воле и свободном времени энтузиастов.
Общий ответ
Признав, что благотворительная модель исчерпала себя, ключевые игроки отрасли объединились. Под крылом Linux Foundation создана Рабочая группа по устойчивому поддержанию реестров пакетов (Sustaining Package Registries Working Group).
Ее задача — выработать конкретные механизмы финансирования, управления и обеспечения безопасности, способные масштабироваться вслед за ростом загрузок. Инициатива объединила Sonatype с организациями Alpha-Omega, Eclipse Foundation с реестром OpenVSX, OpenJS Foundation, OpenSSF, Packagist, Python Software Foundation, Ruby Central с RubyGems и Rust Foundation с реестром Crates.
Главная цель этого союза — предоставить операторам реестров нейтральную площадку для откровенного разговора о деньгах, управлении и распределении операционных тягот. А затем донести эту новую реальность до компаний и организаций, которые десятилетиями исходили из того, что реестры «бесплатны».
В Linux Foundation напоминают: сегодня все работает лишь благодаря инфраструктурным пожертвованиям, кредитам, а также героическим усилиям немногочисленных оплачиваемых команд и неоплачиваемых добровольцев, причем основной объем донорской помощи поступает от узкого круга спонсоров и никак не соотносится с растущими требованиями к реестрам.
Поделиться
