10 трилиона изтегляния: Кризата на устойчивостта в хранилищата с отворен код

Публикувано от Svetni.me Editorial на 6 май 2026 г.

Светът функционира благодарение на софтуера с отворен код. Но малцина осъзнават, че всяка година компаниите изтеглят над 10 трилиона файла от публични регистри. Според доклад на доставчика на сигурност Sonatype [1], този огромен обем от данни изтощава ресурсите на организациите с нестопанска цел, които поддържат тези критични инфраструктури.

Техническият директор на Sonatype, Брайън Фокс, който ръководи регистъра Maven Central [2], предупреждава, че системата е застрашена от претоварване. Проучване показва, че 82% от търсенето идва от едва 1% от IP адресите. Причината е, че много компании използват публичните хранилища като мрежи за доставка на съдържание (CDN), изтегляйки един и същ код стотици хиляди пъти на ден, вместо да използват локално кеширане.

Партньори в новата работна група за устойчивост на регистрите
Изображение: OpenSSF чрез OpenSSF Blog

Риск за веригата за доставки

Под егидата на Linux Foundation е създадена нова работна група за устойчивост на пакетните регистри (Sustaining Package Registries Working Group). Нейната цел е да идентифицира конкретни модели за финансиране, управление и сигурност, за да се гарантира непрекъснатостта на софтуерните потоци.

Проблемът се задълбочава от факта, че автоматизираните системи за разработка (CI/CD) и инструментите с изкуствен интелект атакуват регистрите със скорост, далеч надхвърляща човешките възможности. Това води до скок в бот трафика, автоматизираното публикуване и злоупотребите, което създава „пропаст в устойчивостта“.

„Пакетните регистри вече не са пасивни точки за разпространение. Те са критични оперативни системи по пътя на почти всяко модерно софтуерно изграждане,“ казва Фокс [1]. Ако централен регистър като Maven, npm или PyPI откаже, ефектът ще засегне банки, болници и правителства по целия свят.

Ролята на изкуствения интелект

Възходът на AI добавя нови предизвикателства. AI ускорява както легитимната разработка, така и злонамерената дейност. Нападателите използват изкуствен интелект за създаване на по-сложни и трудни за откриване атаки срещу веригата за доставки [3].

Кристофър Робинсън, технически директор в Open Source Security Foundation (OpenSSF), подчертава, че ролята на регистрите трябва да еволюира. Те не са просто „огледала“ за изтегляне, а фронтова линия в защитата на софтуерната екосистема.

Работната група обединява лидери от Rust Foundation, Python Software Foundation, Ruby Central и други, за да дефинират какво означава устойчива работа в бъдеще. Призивът към компаниите, които зависят от тези системи, е да започнат да допринасят за тяхната поддръжка, превръщайки се от потребители в „плащащи клиенти“ на специализирани услуги, за да се гарантира, че следващото поколение софтуер ще се гради върху стабилна основа.

Източници:

[1]: 10 trillion downloads are crushing open-source repositories - ZDNET
[2]: Open is Not Costless: Reclaiming Sustainable Infrastructure - Sonatype
[3]: The Hidden Costs of Package Registries - OpenSSF Blog