0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Свобода не про халяву. Что стоит за идеей сделать Git платным — и почему это злит разработчиков по всему миру

репозиторий Maven трафик кэширование инфраструктура OpenSSF загрузка
Свобода не про халяву. Что стоит за идеей сделать Git платным — и почему это злит разработчиков по всему миру
репозиторий Maven трафик кэширование инфраструктура OpenSSF загрузка

OpenSSF и участники экосистем обсуждают обязательные взносы для компаний, которые используют open source-инфраструктуру в промышленных масштабах.

image

Открытые репозитории десятилетиями считались почти «воздухом» для разработки, но на саммите Linux Foundation прозвучал неприятный для индустрии вывод: бесплатная инфраструктура заканчивается. CTO Sonatype Брайан Фокс, который также курирует Apache Maven, рассказал о проблеме, с которой уже нельзя справиться одними уговорами и техническими костылями.

По словам Фокса, репозиторий Maven Central и другие крупные хранилища пакетов захлебываются от постоянных загрузок. Команда Maven разобрала трафик и увидела перекос, который выглядит почти карикатурно: 82 процента запросов приходятся меньше чем на 1 процент IP-адресов. Дальше картина стала еще хуже. Многие компании используют open source-репозитории как CDN, то есть как бесплатную сеть доставки контента, и скачивают одни и те же зависимости снова и снова, иногда сотни тысяч раз в день.

Фокс назвал такую модель неустойчивой. На практике речь идет не о «живых» разработчиках, которые вручную ставят библиотеку, а о бесконечных автоматических процессах: CI/CD-конвейерах, сканерах безопасности, генераторах кода на базе ИИ и других headless-сценариях, которые бездумно дергают репозитории. В результате инфраструктура open source работает как промышленный сервис для коммерческих нагрузок, но финансируется как общественная благотворительность.

Масштаб нагрузки уже давно вышел за пределы привычных представлений. За прошлый год крупные репозитории обработали около 10 триллионов загрузок. Фокс отдельно подчеркнул, что такую цифру тянут команды с очень ограниченными ресурсами. При этом компании часто исходят из ложной идеи, будто пропускная способность, хранилище, операционные расходы, персонал и соответствие требованиям регуляторов растут сами собой и ничего не стоят.

Отдельная проблема связана с тем, что IP-адрес больше не помогает понять, кто именно создает нагрузку. Контейнеры, NAT-прокси и облачные egress-IP делают картину размытой. Фокс даже привел показательный случай, когда команда из 60 разработчиков в крупной розничной компании создавала больше трафика, чем глобальная аудитория кабельных модемов, из-за неверно настроенных сборок React Native, которые обходили Nexus Repository Manager.

В самых тяжелых сценариях крупные организации скачивают один и тот же набор из 10 тысяч компонентов по миллиону раз в месяц. Фокс назвал такую практику абсурдной. Попытки ограничивать поток через throttling и временные «brownout»-режимы с ошибками 429 помогали лишь частично. Паттерны быстро менялись, и борьба превращалась в бесконечную игру «ударь крота».

Дополнительную нагрузку создают и коммерческие публикации. Некоторые компании выкладывают закрытые компоненты или огромные SDK в публичные реестры, фактически используя их как бесплатный CDN. По словам Фокса, у крупнейших издателей встречаются ежедневные артефакты гигабайтного размера, что плохо сочетается с изначальной логикой open source-проектов.

На фоне такого давления экосистемы начали обсуждать переход к многоуровневому доступу. Идея простая: одиночные разработчики, небольшие команды и open source-проекты сохранят бесплатные загрузки, а крупные потребители с промышленными объемами начнут платить за использование. Фокс сформулировал мысль жестко: open source останется «свободным в смысле свободы», но модель «бесплатно как пиво» для корпоративных нагрузок уходит в прошлое.

В сентябре 2025 года реестры через OpenSSF выпустили открытое письмо с призывом к «tiered access models». Авторы письма подчеркнули, что бесплатный доступ для хобби-разработки и open source нужно сохранить, а высокообъемное коммерческое потребление должно сопровождаться обязательным вкладом, а не добровольными пожертвованиями. Фокс отдельно акцентировал, что добровольная модель больше не работает.

Проблема упирается не только в трафик и диски. Майкл Уинсер, сооснователь Alpha-Omega при Linux Foundation, напомнил, что рынок смешал два разных понятия: open source software и open source infrastructure. Код может быть бесплатным, но репозитории, которые хранят и раздают пакеты, требуют денег на эксплуатацию и защиту. Причем денег уже не хватает даже на критически важные функции безопасности, которые нужны для защиты цепочки поставок и быстрого реагирования на атаки, плюс впереди новые требования вроде европейского Cyber Resilience Act.

Фокс говорит, что первые практические шаги могут начаться уже в следующем квартале. По его словам, разные экосистемы уже подобрали модели, которые считают рабочими. Реакция компаний, попавших под ограничения, оказалась неожиданно спокойной: вместо конфликта часто следовали удивление и извинения, потому что многие команды воспринимали проблему как случайную неисправность, а не как следствие собственной неэффективной настройки.

На фоне взрывного роста ИИ-нагрузки Фокс призвал компании проверить счета, включить кэширование, использовать прокси и не гонять лишние тесты на каждый коммит. Главная мысль звучит без дипломатии: если бизнес годами пользовался инфраструктурой open source как бесплатным бесконечным ресурсом, теперь пришло время платить за реальное потребление. Счет за «трагедию общин» уже выставлен