Segui ZDNET: Aggiungici come fonte preferita su Google.
I principali punti salienti di ZDNET
- I repository open supply stanno crollando sotto la pressione di 10 trilioni di obtain ogni anno.
- Tutti i principali repository si stanno unendo per affrontare questo problema.
- Sebbene la mancanza di fondi costituisca una parte importante del problema, è necessario affrontare altre questioni.
Il mondo funziona con software program open supply. Lo sappiamo tutti. Ma sapevi che le aziende scaricano oltre 10 trilioni (trilioni con la T) di file di codice open supply ogni anno? Secondo il fornitore di sicurezza software program Sonatype, lo fanno – e i siti di repository di file che forniscono quel codice stanno esaurendosi a causa della domanda.
COME Sonatipo Il CTO Brian Fox, che supervisiona il Registro Java centrale di Mavenmi ha detto all’inizio di quest’anno, Maven corre il rischio di essere sopraffatto dai download costanti. Fox e l’azienda hanno scoperto che l’82% della domanda proviene solo dall’1% degli IP. Questo perché le aziende utilizzano repository open supply come se fossero reti di distribuzione dei contenuti (CDN).
Inoltre: il 98% dei chief IT desidera la sovranità digitale: ora SUSE la sta rendendo operativa per le aziende di tutto il mondo
Advert esempio, una singola azienda potrebbe scaricare lo stesso codice centinaia di migliaia di volte in un giorno, il giorno successivo e quello successivo. Cosa deve fare un repository di codice open supply senza scopo di lucro?
Siamo di fronte a un rischio di resilienza della catena di approvvigionamento
Le persone che li gestiscono stanno finalmente dicendo, collettivamente: “Questo non può rimanere un ente di beneficenza per sempre”. Ora, sotto il Fondazione Linuxun nuovo gruppo di lavoro sui registri dei pacchetti di sostegno cercherà di identificare finanziamenti concreti, governance e pratiche di sicurezza per mantenere il flusso del codice man mano che aumenta il numero di obtain.
Tutto è iniziato con un problema di ridimensionamento. Negli ultimi anni, il consumo e la pubblicazione nei registri pubblici dei pacchetti sono cresciuti a livelli folli. Quei 10mila miliardi di obtain? Si tratta del doppio delle question di ricerca annuali di Google e, a differenza di Google, i siti open supply lo fanno con pochi soldi.
Ecco il problema: poiché le construct di software program, le pipeline di integrazione continua e i sistemi di intelligenza artificiale martellano i registri alla velocità della macchina anziché a quella umana, i siti non riescono a tenere il passo. Questa crescita ha portato a un’impennata del traffico bot, della pubblicazione automatizzata, dei rapporti sulla sicurezza e di veri e propri abusi, esponendo quello che il gruppo di lavoro chiama senza mezzi termini un “hole di sostenibilità”. In altre parole, ora ci troviamo di fronte al rischio di resilienza della catena di approvvigionamento, non solo a una fattura di internet hosting.
Inoltre: le nuove regole per il codice assistito dall’intelligenza artificiale nel kernel Linux: ciò che ogni sviluppatore deve sapere
Come ha spiegato Fox, “I registri open supply non sono più punti di distribuzione passivi. Sono sistemi operativi e critici per la sicurezza che si trovano sul percorso di quasi ogni creazione di software program moderno. Se vogliamo che la catena di fornitura del software program rimanga resiliente, abbiamo bisogno di una conversazione seria su come queste piattaforme sono finanziate, governate e sostenute su scala globale. È tempo di considerare la sostenibilità dei registri come una responsabilità condivisa in tutto il settore del software program.”
I siti di registro sono più che semplici mirror di obtain
Ha ragione. I siti di registro open supply non sono più semplici mirror di obtain. Sono sistemi critici per la sicurezza che si trovano direttamente sul percorso di quasi tutte le versioni software program moderne. Se uno qualsiasi dei registri centrali vacillasse, a causa di costi, esaurimento o un attacco riuscito, il raggio d’azione si estenderebbe ben oltre le comunità open supply fino a banche, ospedali, cloud e governi che raramente pensano alla provenienza delle loro dipendenze sui codici.
Christopher Robinson, CTO e capo architetto della sicurezza presso Fondazione per la sicurezza open source (OpenSSF), ha aggiunto: “I registri dei pacchetti sono in prima linea nella sicurezza e nella resilienza della catena di fornitura del software program. Man mano che il ritmo di consumo, pubblicazione e attività di attacco accelera, anche la gestione dietro questi sistemi deve evolversi. Questa iniziativa sarà un luogo importante in cui i chief dei registri e le parti interessate dell’ecosistema potranno allinearsi su modi pratici e orientati alla comunità per sostenere l’infrastruttura da cui dipende il software program moderno.”
Inoltre: Microsoft finalmente apre i sorgenti DOS 1.0 – ed è molto più del semplice codice
“Questo è più grande di qualsiasi registro“, ha osservato Fox. “Ciò che period iniziato come una realtà operativa su Maven Central non è più meglio compreso come una storia di Maven Central. Lo stesso modello si sta manifestando in tutti gli ecosistemi. Più traffico di macchine. Più automazione. Ulteriori scansioni. Maggiori aspettative in termini di operatività, integrità, provenienza e applicazione delle coverage. Più costi. Maggiore onere di sostegno. Maggiore dipendenza dalle infrastrutture, di cui l’industria parla ancora come se si basasse sulla buona volontà e sul tempo libero.” Avviso spoiler: non è così.
Per affrontare questo problema, Sonatype ha collaborato con la Linux Basis e altri chief del registro dei pacchetti, tra cui Alpha-Omega, Eclipse Basis (OpenVSX), OpenJS Basis, OpenSSF, Packagist, Python Software program Basis, Ruby Central (RubyGems) e Rust Basis (Crates). L’thought è quella di offrire agli operatori un discussion board neutrale per discutere apertamente di denaro, governance e oneri operativi condivisi. Una volta risolto questo problema, coordineranno come spiegare queste realtà alle aziende e alle organizzazioni che da tempo ritengono che i registri siano “gratuiti”. No, non lo sono. Non lo sono mai stati.
Come ha sottolineato la Linux Basis, “I registri oggi si basano principalmente su due cose: (1) donazioni e crediti per infrastrutture; e (2) sforzi eroici da parte di piccoli workforce retribuiti (essi stessi finanziati da donazioni e sovvenzioni) e volontari non retribuiti che gestiscono e mantengono i servizi di registro. La maggior parte delle donazioni e delle sovvenzioni proviene da un piccolo gruppo di donatori e non si adatta alle richieste del registro.”
I repository hanno bisogno di più che contanti
Il gruppo di lavoro è esplicitamente posizionato come un luogo in cui i chief del registro e le parti interessate dell’ecosistema possono allinearsi su modi “pratici e orientati alla comunità” per sostenere story infrastruttura, piuttosto che ogni operatore improvvisa il proprio piano di sopravvivenza in isolamento.
Sebbene i repository open supply abbiano un disperato bisogno di più denaro per soddisfare la domanda, non è solo una questione di soldi. È necessario affrontare una serie di altri requisiti. Questi sono:
Inoltre: come l’intelligenza artificiale è diventata improvvisamente molto più utile per gli sviluppatori open supply
- Sostenibilità economica: Sviluppare modelli di finanziamento che possano effettivamente coprire infrastrutture, operazioni, manutentori e governance, invece di fare affidamento sul volontariato eroico e su alcuni loghi aziendali.
- Difesa collettiva: Coordina le pratiche di sicurezza e la condivisione delle informazioni tra i registri in modo che possano rilevare e rispondere alle minacce più rapidamente mentre gli aggressori automatizzano e ridimensionano la propria attività.
- Abilitazione della governance: Creare quadri politici condivisi e termini standardizzati che rendano politicamente e giuridicamente possibile introdurre modelli di finanziamento sostenibili senza fratturare le comunità.
- Educazione e trasparenza dell’ecosistema: Allinea messaggi e contenuti formativi in modo che sviluppatori, aziende e politici capiscano finalmente quanto costa gestire questi servizi e perché “obtain gratuiti infiniti per sempre” non è mai stato un piano realistico
Alcuni gruppi affrontano già questi problemi, ma nessuno dispone di politiche e persone in grado di affrontarli tutti. Lavorando insieme, si spera che svilupperanno un framework che tutti i repository possano utilizzare senza che tutti debbano reinventare la ruota.
Inoltre: ho provato il nuovo Linux Mint 22.3: è un corso di perfezionamento sulle soluzioni per migliorare la qualità della vita
Il supporto dei repository open supply è diventato un problema cruciale per tutti coloro che operano nel settore del software program. Fino a poco tempo fa, tuttavia, period invisibile. Non possiamo più permetterci il lusso di dare per scontato che i volontari manterranno aperte le porte delle librerie di codici open supply. Questi siti devono avere il nostro supporto, altrimenti finiremo tutti nei guai per sviluppare, costruire e gestire i programmi di cui le nostre aziende hanno bisogno per mantenere le luci accese.
