Майкл Уинсер (Michael Winser), сооснователь инициативы Alpha-Omega, нацеленной на повышение безопасности открытого ПО, выступил на конференции FOSDEM 2026 с докладом, поднимающим вопрос устойчивости инфраструктуры при нынешних моделях финансирования каталогов пакетов PyPI (Python), npm (Node.js), Crates.io (Rust), RubyGems (Ruby) и Maven Central (Java). При экспоненциальном росте числа загрузок и объёма хранимых данных финансирование отмеченных каталогов практически не увеличивается, что создаёт риски нарушения их устойчивой работы и мешает развитию механизмов для выявления вредоносных пакетов и защиты от атак через зависимости.
Отмечается, что многие каталоги пакетов работают на грани рентабельности, полагаясь на непостоянные гранты, пожертвования и безвозмездное предоставление ресурсов. Около 25% расходов каталогов приходится на оплату трафика CDN и каналов связи (network bandwidth). Далее следуют: 18% - хранение данных, 15% - вычислительные мощности, 12% - борьба с вредоносной активностью, 10% - реагирование на инциденты (Abuse), 8% - обеспечение стабильной работы (SRE - Site Reliability Engineering), 6% - поддержка, 4% - исправление ошибок. На создание новой функциональности тратится лишь 2% средств, а разработку компонентов обеспечения безопасности - 1%. Подготовка документации и вовсе не вошла в первую десятку статей расходов.
По оценке Уинсера, содержание каталога масштаба Crates.io, обрабатывающего около 125 миллиардов загрузок в год, обходится в 5-8 миллионов долларов ежегодно, причём без учёта безвозмездно предоставляемых ресурсов - например, сеть доставки контента Fastly обслуживает трафик Crates.io бесплатно. Для PyPI, обслуживающего более 700 тысяч пакетов с суммарным трафиком порядка 747 петабайт в год (189 Гбит/с), одна лишь оплата трафика без спонсорства Fastly составила бы около 1.8 миллионов долларов в месяц.
Особую обеспокоенность вызывает рост числа вредоносных пакетов, в том числе создаваемых с помощью средств генеративного искусственного интеллекта. Медианное время от публикации вредоносного пакета до его удаления составляет 39 часов - более чем достаточно для распространения по цепочке зависимостей. В сентябре 2025 года данная проблема проявилась на практике: самораспространяющийся червь Shai-Hulud поразил экосистему NPM.
Рассмотрено несколько гипотетических способов покрытия расходов каталогов пакетов, ни один из которых, судя по проведённым расчётам, не способен полностью компенсировать все затраты. Наиболее очевидный путь монетизации - введение платы за пропускную способность или доступ к пакетам, неизбежно приведёт к увеличению интенсивности кэширования и появлению сторонних зеркал, предлагающих бесплатный доступ, что создаст проблемы с отслеживанием публикации вредоносного содержимого и фрагментацией экосистемы. При этом, как отметил Уинсер, каталоги фактически являются естественными монополиями - им принадлежит пространство имён, - однако стоимость создания альтернативного каталога стремится к нулю, что делает это положение неустойчивым.
В прошлом году при рассмотрении вопроса финансирования каталогов организацией OpenSSF были предложены такие меры, как введение дополнительных платных возможностей, например, предоставление расширенной платной статистики; коммерческое сотрудничество, помогающее финансировать поддержание инфраструктуры пропорционально создаваемой нагрузке или в обмен на стратегические преимущества; многоуровневые модели доступа, сохраняющие открытость для обычных пользователей, но вводящие платные опции для тех, кому требуется повышенная надёжность и большой объём трафика.
Источник: https://www.opennet.ru/opennews/art.shtml?num=64823
