Siga ZDNET: Adicione-nos como fonte preferencial no Google.
Principais conclusões da ZDNET
- Os repositórios de código aberto estão em colapso sob a pressão de 10 trilhões de downloads anualmente.
- Todos os principais repositórios estão se unindo para resolver esse problema.
- Embora a falta de fundos seja uma parte importante do problema, outras questões precisam de ser abordadas.
O mundo funciona com software program de código aberto. Todos nós sabemos disso. Mas você sabia que as empresas baixam mais de 10 trilhões (ou seja, trilhões com T) de arquivos de código-fonte aberto todos os anos? De acordo com o provedor de segurança de software program Sonatype, eles fazem isso – e os websites de repositório de arquivos que fornecem esse código estão esgotados pela demanda.
Como Sonatipo O CTO Brian Fox, que supervisiona o Registro Maven Central Javame disse no início deste ano, Maven corre o risco de ser sobrecarregado por downloads constantes. A Fox e a empresa descobriram que 82% da demanda vem de apenas 1% dos IPs. Isso ocorre porque as empresas estão usando repositórios de código aberto como se fossem redes de distribuição de conteúdo (CDNs).
Além disso: 98% dos líderes de TI desejam soberania digital: agora a SUSE está operacionalizando-a para empresas em todos os lugares
Por exemplo, uma única empresa pode baixar o mesmo código centenas de milhares de vezes por dia, no dia seguinte e no dia seguinte. O que um repositório de código-fonte aberto sem fins lucrativos pode fazer?
Enfrentamos um risco de resiliência da cadeia de abastecimento
As pessoas que os dirigem estão finalmente dizendo, coletivamente: “Isto não pode continuar sendo uma instituição de caridade para sempre”. Agora, sob o Fundação Linuxum novo Grupo de Trabalho de Registros de Pacotes Sustentáveis buscará identificar práticas concretas de financiamento, governança e segurança para manter o fluxo do código à medida que o número de downloads aumenta.
Tudo começou com um problema de escala. Nos últimos anos, o consumo e a publicação em registros públicos de pacotes cresceram a níveis insanos. Esses 10 trilhões de downloads? Isso representa o dobro das pesquisas anuais do Google e, ao contrário do Google, os websites de código aberto estão fazendo isso com pouco dinheiro.
Aqui está o problema: como as construções de software program, os pipelines de integração contínua e os sistemas de IA martelam os registros na velocidade da máquina, e não na velocidade humana, os websites não conseguem acompanhar. Esse crescimento provocou um aumento no tráfego de bots, publicações automatizadas, relatórios de segurança e abusos flagrantes, expondo o que o grupo de trabalho chama sem rodeios de “lacuna de sustentabilidade”. Por outras palavras, enfrentamos agora o risco de resiliência da cadeia de abastecimento e não apenas uma conta de alojamento.
Além disso: As novas regras para código assistido por IA no kernel Linux: o que todo desenvolvedor precisa saber
Como Fox explicou: “Os registros de código aberto não são mais pontos de distribuição passivos. Eles são sistemas operacionais e críticos para a segurança que estão no caminho de quase todas as construções modernas de software program. Se quisermos que a cadeia de fornecimento de software program permaneça resiliente, precisamos de uma conversa séria sobre como essas plataformas são financiadas, governadas e sustentadas em escala international. É hora de tratar a sustentabilidade dos registros como uma responsabilidade compartilhada em toda a indústria de software program”.
Os websites de registro são mais do que espelhos de obtain
Ele está certo. Os websites de registro de código aberto não são mais simples espelhos de obtain. Eles são sistemas críticos para a segurança que estão diretamente no caminho de quase todas as versões modernas de software program. Se algum dos registos centrais falhar, seja devido ao custo, ao esgotamento ou a um ataque bem-sucedido, o raio de explosão estender-se-ia muito além das comunidades de código aberto, atingindo bancos, hospitais, nuvens e governos que raramente pensam sobre a origem das suas dependências de código.
Christopher Robinson, CTO e arquiteto-chefe de segurança da Fundação de segurança de código aberto (OpenSSF), acrescentou: “Os registros de pacotes estão na linha de frente da segurança e resiliência da cadeia de fornecimento de software program. À medida que o ritmo de consumo, publicação e atividade de ataque acelera, a administração por trás desses sistemas também precisa evoluir. Esta iniciativa será um native importante para os líderes de registro e as partes interessadas do ecossistema se alinharem em formas práticas e voltadas para a comunidade para sustentar a infraestrutura da qual o software program moderno depende”.
Além disso: a Microsoft finalmente abriu o código-fonte do DOS 1.0 – e é muito mais do que o código
“Isso é maior do que qualquer registro”, observou Fox. “O que começou como uma realidade operacional no Maven Central não é mais melhor compreendido como uma história do Maven Central. O mesmo padrão está aparecendo em todos os ecossistemas. Mais tráfego de máquinas. Mais automação. Mais digitalização. Mais expectativas em relação ao tempo de atividade, integridade, procedência e aplicação de políticas. Mais custo. Mais carga de suporte. Mais dependência de infra-estruturas de que a indústria ainda fala como se funcionasse com boa vontade e tempo livre.” Alerta de spoiler: isso não acontece.
Para resolver isso, a Sonatype se uniu à Linux Basis e outros líderes de registro de pacotes, incluindo Alpha-Omega, Eclipse Basis (OpenVSX), OpenJS Basis, OpenSSF, Packagist, Python Software program Basis, Ruby Central (RubyGems) e Rust Basis (Crates). A ideia é proporcionar aos operadores um fórum neutro para discutir abertamente dinheiro, governação e encargos operacionais partilhados. Uma vez resolvido isso, eles coordenarão como explicar essas realidades às empresas e organizações que há muito assumem que os registros são “gratuitos”. Não, eles não são. Eles nunca foram.
Como a Linux Basis apontou, “os registros hoje funcionam principalmente com base em duas coisas: (1) doações e créditos de infraestrutura; e (2) esforços heróicos de pequenas equipes remuneradas (elas próprias financiadas por doações e subsídios) e voluntários não remunerados que operam e mantêm serviços de registro.
Os repositórios precisam de mais do que dinheiro
O grupo de trabalho está explicitamente posicionado como um native onde os líderes dos registos e as partes interessadas do ecossistema podem alinhar-se em formas “práticas e comunitárias” de sustentar essa infra-estrutura, em vez de cada operador improvisar o seu próprio plano de sobrevivência isoladamente.
Embora os repositórios de código aberto precisem desesperadamente de mais dinheiro para atender à demanda, não se trata apenas de dinheiro. Uma série de outros requisitos precisam ser atendidos. Estes são:
Além disso: como a IA de repente se tornou muito mais útil para desenvolvedores de código aberto
- Sustentabilidade económica: Desenvolver modelos de financiamento que possam realmente cobrir infra-estruturas, operações, mantenedores e governação, em vez de depender de voluntarismo heróico e de alguns logótipos corporativos.
- Defesa coletiva: Coordene as práticas de segurança e o compartilhamento de informações entre registros para que eles possam detectar e responder às ameaças com mais rapidez, à medida que os invasores automatizam e dimensionam suas próprias atividades.
- Capacitação de governança: Criar quadros políticos partilhados e termos padronizados que tornem política e legalmente possível a introdução de modelos de financiamento sustentáveis sem fraturar as comunidades.
- Educação e transparência do ecossistema: Alinhe mensagens e conteúdo educacional para que desenvolvedores, empresas e legisladores finalmente entendam quanto custa operar esses serviços e por que “downloads gratuitos infinitos para sempre” nunca foi um plano realista
Alguns grupos já abordam estas questões, mas nenhum dispõe de políticas e de pessoas para todos eles. Trabalhando juntos, espera-se que eles desenvolvam uma estrutura que todos os repositórios possam usar sem que todos tenham que reinventar a roda.
Além disso: experimentei o novo Linux Mint 22.3 – é uma masterclass em correções de polimento e qualidade de vida
O suporte a repositórios de código aberto tornou-se uma questão de missão crítica para todos no negócio de software program. Até recentemente, porém, period invisível. Não podemos mais nos dar ao luxo de presumir que os voluntários manterão abertas as portas das bibliotecas de código-fonte aberto. Esses websites devem ter o nosso apoio, ou todos teremos problemas para desenvolver, construir e executar os programas de que nossas empresas precisam para manter as luzes acesas.