OpenForum RSS: Проблемы с финансированием каталогов пакетов открытого ПО https://opennet.ru/openforum/vsluhforumID3/139284.html Майкл Уинсер (Michael Winser), сооснователь инициативы Alpha-Omega, нацеленной на повышение безопасности открытого ПО, выступил на конференции FOSDEM 2026 с докладом, поднимающим вопрос устойчивости инфраструктуры при нынешних моделях финансирования каталогов пакетов PyPI (Python), npm (Node.js), Crates.io (Rust), RubyGems (Ruby) и Maven Central (Java). При экспоненциальном росте числа загрузок и объёма хранимых данных финансирование отмеченных каталогов практически не увеличивается, что создаёт риски нарушения их устойчивой работы и мешает развитию механизмов для выявления вредоносных пакетов и защиты от атак через зависимости...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64823<br> Проблемы с финансированием каталогов пакетов открытого ПО (Аноним) https://opennet.ru/openforum/vsluhforumID3/139284.html#135 Sun, 22 Feb 2026 13:51:59 GMT Проблема в финансировании в другом.<br><br>Берем данные из новости: за канал в 189 Гбит/с платят 1.8 млн долларов в месяц.<br><br>На первый взгляд, сложно сказать, дорого это или дешево, но давайте пересчитаем на привычные нам 100 Мбит/с.<br><br>189 Гбит/с = 189 000 Мбит/с.<br>Стоимость 1 Мбит/с в таком оптовом канале: 1 800 000 / 189 000 ≈ 9.52 $/мес.<br>Стоимость 100 Мбит/с: 9.52 * 100 = ~952 $/мес.<br><br>Как Вы думаете это дешево?<br>А за другие услуги сколько берут?<br> Проблемы с финансированием каталогов пакетов открытого ПО (Аноним) https://opennet.ru/openforum/vsluhforumID3/139284.html#134 Sat, 21 Feb 2026 21:48:58 GMT Задача - снизить нагрузку на репозиторий, а не отказаться от него. Пусть репозиторий отправляет хэши пакетов и список раздающих.<br> Проблемы с финансированием каталогов пакетов открытого ПО (Аноним) https://opennet.ru/openforum/vsluhforumID3/139284.html#133 Sat, 21 Feb 2026 21:28:28 GMT &gt; Что на Github. <br><br>https://radicle.xyz<br> Проблемы с финансированием каталогов пакетов открытого ПО (Аноним) https://opennet.ru/openforum/vsluhforumID3/139284.html#132 Sat, 21 Feb 2026 04:17:47 GMT Предлагающие P2P распространение, не забывайте, что одна из проблем мейнтейнеров репозиториев это борьба с вредоносами по цепочке портавок и абьюз. Один раз выпустив джинна из бутылки, его потом почти нереально отловить, а сборочные пайплайны автоматические, и если они будут запрашивать вредоносный пакет, а кто-то почти неизбежно будет его раздавать, то рано или поздно они найдут друг друга. Конечно, пакеты распространяются через централизованный менеджер пакетов, и в нём можно поддерживать чёрный список хэшей, который будет предотвращать их скачивание, но не все будут постоянно обновлять его.<br>Хотя, можно сделать только вшитые в менеджер пакетов централизованные трекеры без DHT и запрещать поиск пиров для чёрного списка хэшей.<br> Проблемы с финансированием каталогов пакетов открытого ПО (Васян Эканомавичь) https://opennet.ru/openforum/vsluhforumID3/139284.html#131 Fri, 20 Feb 2026 19:30:47 GMT -- - - - С экономической точки зрения это...<br><br>Вопрос в цене разных составляющих и замахе на халяву от этого, но некоторые идеи подсчёту не подлежат... может быть цель другая.<br> Проблемы с финансированием каталогов пакетов открытого ПО (Васян Заботливый) https://opennet.ru/openforum/vsluhforumID3/139284.html#130 Fri, 20 Feb 2026 19:21:56 GMT --- -- - - Платить должен тот,...<br><br>А кто на чём зарабатывает и сколько? А кто размещает на т.н.бесплатных т.н. ресурсах платно-свободное ПО и сколько, а где? А зачем всё эта вапсче такое делаится? В чём идея и последовательность достижения цели? .... Чё там такоя тваритца?<br> Проблемы с финансированием каталогов пакетов открытого ПО (Аноним) https://opennet.ru/openforum/vsluhforumID3/139284.html#129 Fri, 20 Feb 2026 17:53:44 GMT &gt; Npm же принадлежит микрософту, они сами себе за азуру платят что-ли?<br><br>А, типа, свой датацентр содержать бесплатно, персонал работает за интерес, электричество и обслуживание ничего не стоят, и вообще?<br> Проблемы с финансированием каталогов пакетов открытого ПО (Dmitry) https://opennet.ru/openforum/vsluhforumID3/139284.html#128 Fri, 20 Feb 2026 09:04:48 GMT Судя по вашей логике и писать СПО (языки программирования, библиотеки и проч.) должно государство. так?<br> Проблемы с финансированием каталогов пакетов открытого ПО (Аноним) https://opennet.ru/openforum/vsluhforumID3/139284.html#127 Fri, 20 Feb 2026 08:52:55 GMT &gt; Вы написали программу, которая по сути, является клоном сотен таких же программ. <br><br>Ну так пользуйтесь этими клонами.<br> <br>&gt; Когда Вы выкладываете свое "произведение искусств" в публичный доступ, Вы фактически рекламируете себя и свои способности.<br><br>Какой забавный бред.<br><br>&gt; Площадки, на которых размещено ПО в открытый доступ, тоже имеют свой профит с этого.<br><br>Вот прямо в статье написано что они убыточные.<br><br>&gt; Так что, кто хочет и может, тот донатит, но обязаловка - это вымогательство чистой воды.<br><br>Только для халявщиков и потребялдей.<br><br><br>