Организация OpenSSF (Open Source Security Foundation), созданная для объединения работы представителей индустрии в области повышения безопасности открытого ПО, опубликовала открытое письмо, которое подписали разработчики репозиториев PyPI, crates.io, Packagist, Open VSX и Maven Central. В письме упомянуты проблемы с сохранением устойчивости инфраструктуры при нынешних моделях финансирования и использования репозиториев. Последнее время нагрузка на репозитории увеличивается экспоненциально, но рост финансирования работы по сопровождению в лучшем случае имеет линейный характер. Отмечается, что ситуация с финансированием пока не достигла кризиса, но статус‑кво больше не может сохранятся и наступил критический переломный момент, требующий изменений...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63959
Дайте бабла! Пойти работать не предлагать!
Алё, это некоммерческие организации.
Йа тоже!
И что? Все некомки очень активно просят и поглощают бабло.
кому работать? текст новости тобой осилен?
они-то как раз работают, но один с сошкой не прокормит 107 с ложкой.
*Шутка про завод*
Меня всегда удивляло, что люди думают будто пословицами и побасенками можно что-то доказать.
- один с сошкой не прокормит 107 с ложкой
- мы все же не поняли, зачем вам миллиард
- одними обещаниями сыт не будешь, от слова халва во рту слаще не станет
- теперь понятно, срочно выделить!
Пословицы - это архаичные гиперссылки на очевидные принципы, столько раз разжеванные и положенные в рот, что уже стали народной мудростью.
> Пословицы - это архаичные гиперссылки на очевидные принципы, столько раз разжеванные и
> положенные в рот, что уже стали народной мудростью.Да тебя реально не доходит что на любому факту можно придумать пословицу, которая доказывает и которая опровергает. И в любой момент просто выбирать любую пословицу. Это просто бессмысленный текст.
Бред!
Это как "мастера" аналогий, который выбирают любую выгодную аналогию и пытаются ею что-то "доказать". Когда в реальности всё гораздо сложнее.
На самом деле, давно пора. Идея о свободном ПО давно уже показала себя как нежизнеспособной. Для индивидуальных лиц, то можно и бесплатно, а вот корпы должны платить за лицензию.
> свободном ПОБесплатном. Свободно я могу колбасу в магазине купить. А вот открытый бесплатный софт не от всякого корпораста свободно скачать можно.
В смысле? Они как раз работают, и результат их работы виден каждый раз, когда кто-то делает pip install. Вот только денег на инфраструктуру им никто не даёт, не говоря уже о покушать
RateLimeter'ы поставить на скачивание пакетов и проблема решена: для обычного пользователя будет практически незаметно, а комерсы забегают как пауки в банке и первые прибегут за "безлимитными тарифами"
И проблема решена - твоя сборочка постоит до завтра, пока рейтлимит обнулится. А то ты скачал уже пять лефтпадов, это слишком.А вот у коммерса с парой-тройкой сеточек B еще тех классовых времен - все будет в ажуре и дальше (не хватит - у них и v6 блоков куры не клюют)
Рейтлимит на аккаунт?
А какаунт привязать к паспорту с верификацией личности и справкой от священника! Опенсорс, который мы заслужили
А че, разве все эти новомодные-смузи-профессионалы не осилили кэш локальный? Серьезно?
Не будет все в абажуреПотому что если корпы заморочатся исходящие ИП менять - это ж нету в ямле по умолчанию такой возможности и не включить за 5 мин, спросив ИИ - то уже заморочаться и локальный кэш прикрутись, с чексуммами и поэтессами.
Но скорее всего - просто заплатят.
А если ещё платить из этих денег хотя бы 2% авторам пакета...
За инфраструктуру никто платить не будет никогда. Финансирование надо искать не на инфру, а продавать платные продукты, подписки и прочие ништяки, имеющие добавленную стоимость. А уже с этих денег финансировать инфру. Азы бизнеса для дошколят.
У тебя таких бизнесов сколько? Сколько платных продуктов ты уже продаёшь?
Вот они и начнут сейчас продавать доступ к репо по подписке. А чо, дело-то благое, а то ж так есть хочется что переночевать негде. А ты - "паразит", на халяву хочешь свой лефтпад!
Не будут люди покупать подписку на репо, это полный бред. Как введут - на следующий же день все перелезут на форк. Надо продавать продукт, а не инфру. Когда ты идешь в ресторан - ты платишь за кухню и подачу, а не за кило картошки и тарелки.
а у форка инфра волшебно бесплатная?
И что в примере про ресторан аналог подписки на репо?
> За инфраструктуру никто платить не будет никогда.Есть такое неприятное слово, которое тут очень не любят — подписка.
Есть такое неприятное ствтья, которое тут очень не любят — финансирование недружественных стран.
Срочно придумать жопель для репозиториев, а то инфраструктурой не делятся негодяи, а безопасники кушать хотят. Да здравствует вареза вкус всегда настоящий.
Сделать платно для проектов имеющих коммерческую составляющую. Оставить как есть только для открытых и бесплатных проектов. Как оно раньше и было.
Некорпоративно мыслишь.
Каким образом ты отделишь одних от других? По паспорту?
По лицензиям и условиям распространения. Разработчик ставит галочку - к пакету не прилагается коммерческой поддержки, платной версии, не является частью коммерческо распространяемого софта и тд. Не вижу проблем перепроверить, особенно для часто скачиваемых пакетов.
Надо было так "Внезапно" подняли вопрос. Да этого конечно же было непонятно что они начнут шантажировать сообщество.
Никаких признаков шантажа здесь не вижу.
Тебе хоть ... В глаза ты все равно ... Рад наворачивать с лопаты.
Так это всё делалось ради продажи Майкрософту (или иному крупному покупателю) вот именно ради этого самого в том числе (думаешь лимоны и лярды просто так отсыпают за красивый логотип?)
Хостят всякие leftpad'ы а потом плачут дайте денег. Пусть введут патную подписку а кто не хочет платить пусть качает с github или сайта разработчика как было всегда
Вам даже в статье про ИИ написали,но вы упорно не видите перспектив. ВВедут платную подписку для любителей ИИ ассистентов и норм.Сэкономишь на кодере,но заплатишь за репозитории.D Комерсы в отличии от сообщества более реалистичные.
> коммерческие компанииОоо, эти давно обнаглели, странно, что только сейчас подняли этот вопрос на обсуждение. 😕
А что они хотели? Современному условному "программисту" чихать на оптимизацию своего продукта. Но никаких разумных ограничений по потреблению ресурсов. Никакой экономии. Таково поколение современных "программистов". Можно только задаваться вопросом, кто виноват в этом, кто из вырастил таких вот и вот так вот воспитал? Но от этого они не изменятся и оптимизацией они не займутся. Нужно ждать нового поколения. Растить. Воспитывать. Но это уже не наши современники.
> кто виноват в этом, кто из вырастил таких вот и вот так вот воспитал?Так коммерческие компании и виноваты, они их породили…
А потом тебя отчитывают за «ненужную» оптимизацию, на которую ты потратил время. Коммерческий софт - это абсолютно костыльное г…но, любое и везде без исключения.Никому нафиг не уперлась твоя «оптимизация». Программисты делают то, что им скажут и так как им скажут. Да, уровень программистов очень низкий. Но это идеально ложится на то что от них требуют.
Сначала нужно решить эту проблему, и только потом смотрели в сторону программистов (корпы хотят, но программисты не могут)
Эта проблема решается на раз: платим разработчикам в десять раз больше за супер-пупер-оптимизированный софт… правда, возникает другая проблема.
> возникает другая проблема.Софт должен развиваться и поддерживаться. Вот вам пример - MS лет 30 назад сделала кое-какую статистику и математику для Excel, для того времени приемлемую. До сих пор ошибки, о которых все знают, но исправлять их, вероятно, некому.
Рыночек порешал любителей потрындеть про оптимизацию - теперь они занимаются оптимизацией количества нытья на форумах и отыгрышем в голове воспитывания поколений. А бездуховные грязные бумажки отдают тем, кто вместо трындежа дает результат. Кошмар, да?
Когда на сайте опсоса (не самый нищий бизнес) вместо баланса счета выводится "не могу приконектиться к компоненту такому-то" - это не результат, а говно. Но за которое, конечно, заплатили. Юные архитекторы понааркестрируют херни, а оно почему-то иногда (часто) не работает.
Нет, я просто перешел на сверх сложное направление, где все есть математика и оптимизация - это за то что платят. За базы данных. А ты продолжай пилить свой hello world и «делать логику в коде» и использовать базу данных как «тупую хранилку». Что большинство программистов и делают.
Вы предлагаете за перерасход денежных средств менеджеру отвечать перед начальством, а вы код будите вылизывать?! Нет уж, привыкай технарь и не забывай про скорость разработки.
Даю идею для финансирования.1. Требуем FIDO2, пароли и TOTP - запрещаем.
2. Требуем аттестацию.
3. Требуем не просто аттестацию FIDO2, а аттестацию конкретных вендоров. pypi имеет свой реестр публичных ключей для аттестации. За внесение в реестр требуем денежку пропорционально количеству привязанных устройств, аттестованных этим ключогм. Правила одни для всех, и для вендоров, и для физлиц:1. по умолчанию для всех устройств c с аттестационным ключом k есть количество "бензина" gas[k] = 0;
2. есть страница оплаты, на которой можно увеличить количество "бензина" для конкретного ключа. Никаких аккаунтов, просто инфа для аттестационного реестра и инфа для оплаты. Оплата принимается от кого угодно, проверка принадлежности аттестационного ключа оплачивающему лицу не проводится. Деньги не возвращаются в принципе. При возврате денег со стороны платёжной системы количество "бензина" откатывается.
3. Каждый день количество "бензина" декрементируется на количество зареганных устройств с этой аттестацией.
5. Когда количество "бензина" становится меньше порога, регистрации через данные устройства прекращаются.
6. Когда количество "бензина" становится равным нулю, входы через данные устройства прекращаются.
7. Так как возиться с аттестацией на самодельных устройствах имеет смысл только если эти самоделки делаются на организацию, а также в целях разрешения входа тем, за кого вендор не заплатил, предусмотрен альтернативный механизм с оплатой за каждый аутентифкатор владельцем этого аутентификатора. Опять же никаких персональных данных, простая страница "вставь ауутентификатор, нажми на кнопку, и оплати". Механизмы с аттестацией применимы только для не оплаченных самостоятельно аутентификаторов.
Это, кстати, универсальный механизм энфорсинга per-user DRM-копирастии для реализации подписки на софт. Читали "Право читать" Столлмана? Вот, оно самое. Всё нижеперечисленное очевидно, но многие пользователи opennet этого не осознают.а) Обычная реализация TEE-DRM:
1. Дропаются все устройства без считающегося достаточно доверенным для вендора копирастии TEE
2. Программа разделяется на несколько частей: загрузчик, анклавы, и главный анклав. Анклавы содержать не особо критические части, их как можно больше, и они как можно более изолированы друг от друга. Главный анклав содержит ключевой код и данные, без которого всё сломается.
3. Каждая часть загоняется в анклав.
4. Каждый анклав содержит загрузчик, который по сети качает код и ресурсы этого анклава после прохождения удаленной аттестации, и сохраняет на диск. Главный анклав данные с кртическими частями на диск не сохраняет, качает каждый раз. Замечание: при сохранении на диск данные запечатываются, расшифровать их может только анклав в начальном состоянии, эквивалентном тому, в котором он эти данные по сети скачал, пройдя удаленную аттестацию. Это энфорсится двумя вещами: аппаратура и подписанные прошивки это энфорсят локально, а вендор софта это энфорсит тем, что каждое устройство, которое вендор процессора произвёл, имеет уникальную пару ключей, который вендор процессора занёс в свою базу. Вендор софта просто делает запрос к базе ендора, и вендор говорит "да, это устройство сошло с моего завода, имеет всю нужную аппаратуру, и протестировано" или "нет, это вообще не пойми кого устройство". Можно отслеживать, в какие страны какие устройства поставили, и в случае чего просто отвечать "первый раз слышу об этом устройстве".б) реализация подписки - софт в анклаве требует FIDO2-аутентификатор, общается с сервером. Каждый анклав. Только некритические части переходят на ветвь где данные с диска в память не грузятся, а критическая вообще от сервера не получит критический пакет данных, нужный каждый раз.
Собственно, именно ради этого M$ всё это насаждает:1. TEE на всех системах с Windows 11 либо через Pluton в процессорах AMD (тот самый "TPM 2.0" для винды 11), либо через реализации TEE от Intel (а там их ворох, сначала были TXT, потом SGX, а потом, когда AMD за основу решил всё же взять изолированные виртуалки, Intel опять вернулся к идее и запилил TDX).
2. Биометрический аутентификатор Windows Hello==>
Комбо, винда становится Premium-платформой вроде Apple, можно требовать оплаты с каждого пользователя, оплатить лицензию для одного сотрудника, а дальше юзать всем офисом на одном ноуте не очень получится (вернее в принципе получится, hello ведь проверяет эпизодически, ничего не мешает сделать должность зицпредседателя, чья обязанность - ходить по офису и светить мордой в вебки, но это контрится на уровне анклавов - в анклав можно запихнуть протенькую опенсорсную биометрическую, сравнивающую лицо перед монитором на нескольких соседних кадрах друг с другом, в случае сомнений - Hello!).
Что с лицом,> За 5 лет использования аппаратного FIDO токена убедился, что это примерно в 10 тысяч раз удобнее чем ввод кодов с телефона.
, почему такое минусовое выражение, что даже Hello-проверка не проходит?
Даешь капчу при скачивании пакета!!!
На каждый пакет, надеюсь?
Не так давно библиотечку на Rust компилил, строк на 250, так cargo столько всякого добра накачал, что я слегка офигел...
> На каждый пакет, надеюсь?
> Не так давно библиотечку на Rust компилил, строк на 250, так cargo
> столько всякого добра накачал, что я слегка офигел...Так их там потому и 250, а не 25000, как было бы со своими Ъ-лисапедами.
Ну и принципиальной разницы между каргой и пакетником нет, просто первый - "кросплатформеный" и не привязан к ОС.
А так-то, лучше даже не смотреть зависимости 3х-строчного хелловорда на том же Qt: помимо самих кутей, вторичными зависимостями идет все, что нужно кутям для работы (вплоть до ядра ОС и драйвера видеокарты) ...
Сейчас с помощью Agentic Vision Language Model (AVLM) капча решается на раз–два. 🤖👾🫠
Приведите конкретную ссылку на то, что вы имеете в виду. Я имею в виду статью + huggingface, а не сервис для распознавания капчи.
свой сервис распознавания каптчи хочется застартапить без вложений?
При Си такой фигни не было.
Причина - разрабы github очень криво сделали кеш экшн, который не умеет шарить зависимости между ветками и каждый раз скачивает интернет.
Один финн тут вот вообще не при чём - делал для себя и всё.D По всем вопросам в спортлото.
Ээээээ...
Пусть гавкнется, никому особо не поплохеет. Наоборот, станет больше культуры сборки.
"в обмен на стратегические преимущества" означает, что преимущества будут у платёжеспособных пользователей, а домохозяины - идут лесом.
Было бы разумней ограничить доступ эгоистичным корпорастам к сетевым ресурсам проектов.
> PyPI, Сrates.io, Packagist и Maven подняли вопрос финансированияТю! А шо так? Среди них есть безопасный язык, разве на нём нельзя написать устойчивую инфраструктуру?