Дефицит бюджета реестров открытого ПО угрожает безопасности цепочек поставок

На конференции FOSDEM 2026 сооснователь проекта Alpha-Omega Майкл Винзер выступил с докладом о критическом финансовом положении ключевых реестров открытого программного обеспечения. По результатам аудита, проведенного фондом Open Source Security Foundation, крупнейшие репозитории сталкиваются с нехваткой средств не только на оплату трафика, но и на внедрение базовых механизмов безопасности.

Ситуация усугубляется экспоненциальным ростом нагрузки на инфраструктуру при сохранении прежнего уровня инвестиций. Проект Alpha-Omega, запущенный в 2022 году при начальном финансировании в размере 5 миллионов долларов от Google и Microsoft, направлен на защиту цепочек поставок ПО. Однако текущих ресурсов оказывается недостаточно для поддержки таких платформ, как PyPI, NPM, Crates.io, RubyGems и Maven Central.

Структура расходов и влияние ИИ

В 2025 году команда Alpha-Omega проанализировала операционную деятельность крупнейших реестров. Основной статьей расходов ожидаемо стала оплата пропускной способности сети, которая составляет около 25% от общего бюджета. Далее следуют затраты на хранение данных (18%) и вычислительные мощности (15%).

На борьбу с вредоносным программным обеспечением уходит 12% бюджета, и эта цифра продолжает расти. С 2019 по январь 2025 года в репозиториях было обнаружено 845 000 вредоносных пакетов, причем большая часть из них пришлась на NPM. Распространение ИИ и автоматических скриптов значительно увеличило объем вредоносного кода. В настоящее время медианное время удаления опасного пакета составляет 39 часов, что оставляет достаточно времени для распространения самовоспроизводящихся червей.

По оценкам Винзера, годовое содержание крупного реестра уровня Crates.io (около 125 миллиардов загрузок в год) может обходиться в 5-8 миллионов долларов. Эта сумма не включает спонсорскую помощь в виде предоставления инфраструктуры. Например, компания Fastly берет на себя расходы по доставке контента для PyPI, что эквивалентно примерно 1,8 миллиона долларов в месяц при объеме трафика 747 ПБ в год.

Проблемы монетизации и поиска решений

Попытки внедрить прямую монетизацию реестров сталкиваются с серьезными препятствиями. Введение платы за трафик приведет к созданию сторонних зеркал и кэширующих серверов, что технически оправдано, но лишает основной проект контроля и статистики. Модель магазина приложений с фиксированной платой за пакет требует сложной платежной инфраструктуры и не соответствует принципам свободного ПО.

Платные подписки также признаны неэффективным решением из-за возможности совместного использования учетных записей. Перекладывание расходов на авторов кода может привести к фрагментации экосистемы, когда компании начнут создавать собственные изолированные репозитории с неизвестным уровнем защиты.

На данный момент единственным рабочим механизмом остаются гранты и спонсорская поддержка от технологических гигантов и фондов, таких как Python Software Foundation, Rust Foundation и OpenJS Foundation. Однако зависимость от грантового финансирования создает риски нестабильности. В качестве возможного выхода предлагается пересмотр корпоративных бюджетов: компаниям следует относить поддержку реестров к операционным расходам (OpEx), а не к благотворительным взносам.