Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Проблемы с финансированием каталогов пакетов открытого ПО"	+/–
Сообщение от opennews (??), 18-Фев-26, 23:50
Майкл Уинсер (Michael Winser), сооснователь инициативы Alpha-Omega, нацеленной на повышение безопасности открытого ПО, выступил на конференции FOSDEM 2026 с докладом, поднимающим вопрос устойчивости инфраструктуры при нынешних моделях финансирования каталогов пакетов PyPI (Python), npm (Node.js), Crates.io (Rust), RubyGems (Ruby) и Maven Central (Java). При экспоненциальном росте числа загрузок и объёма хранимых данных финансирование отмеченных каталогов практически не увеличивается, что создаёт риски нарушения их устойчивой работы и мешает развитию механизмов для выявления вредоносных пакетов и защиты от атак через зависимости... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64823
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Проблемы с финансированием каталогов пакетов открытого ПО"	+2 +/–
Сообщение от Аноним (1), 18-Фев-26, 23:50
Ну так пусть сделают возможность сделать официальные зеркала.
Ответить | Правка | Наверх | Cообщить модератору

	4. "Проблемы с финансированием каталогов пакетов открытого ПО"	+/–
	Сообщение от Аноним (4), 19-Фев-26, 00:08
	Проблема глубже. Нужен стабильный поток финансов. Не представляю, где его взять без принудительной монетизации (скажем, для корпораций, как сделали в докере)
	Ответить | Правка | Наверх | Cообщить модератору

	9. "Проблемы с финансированием каталогов пакетов открытого ПО"	+1 +/–
	Сообщение от Аноним (9), 19-Фев-26, 00:13
	Сообщество™ могло бы донатить. Но оно не будет, тк "вы что?! платить?!!" Поэтому есть классный способ - подписка на услугу: "Пара баксов в месяц и получаешь доступ. Для студентов скидки." Но Cообщество™ это тоже не приемлит, тк обирают халяву. Для старых пакетов возможно подошел бы вариант с торрентом... но тут могут быть технические трубности.
	Ответить | Правка | Наверх | Cообщить модератору

	12. "Проблемы с финансированием каталогов пакетов открытого ПО"	+/–
	Сообщение от Аноним (4), 19-Фев-26, 00:18
	Донаты — это несерьезно. Сегодня донаты есть, а завтра — нет. Монетизация должна быть принудительная. По—хорошему, платить должны все. Речь идет об профессиональном инструменте. Студентам можно бесплатный доступ давать после верификации. Это идеальный вариант. Начать можно с корпов, их легче «прижать». В Docker Inc мудро поступили.
	Ответить | Правка | Наверх | Cообщить модератору

	20. "Проблемы с финансированием каталогов пакетов открытого ПО"	+/–
	Сообщение от Аноним (-), 19-Фев-26, 00:35
	> Монетизация должна быть принудительная. По—хорошему, платить должны все. Ахаха! Даже не верю что читаю такое на этом форуме) Сразу же начнется нытье про дедушку, который всего лишь хочет пересобирать мир каждый день, но у него нет копеечки на подписку и поэтому у него украли все деньги через дыру в ядре. Громогласно будут прдеть в лужу любители шапочек из фольги. Отдельно будут вопли из ccaнциoнных пomoek.
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Проблемы с финансированием каталогов пакетов открытого ПО"	+/–
	Сообщение от Аноним (19), 19-Фев-26, 00:35
	Ты как-то странно и глупо ехиднячаешь по поводу сообщества, подразумевая что оно только берёт. При том что всё что распространяется через эти каталоги сообществом сделано и поддерживается.
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

	21. "Проблемы с финансированием каталогов пакетов открытого ПО"	+/–
	Сообщение от Аноним (-), 19-Фев-26, 00:40
	> подразумевая что оно только берёт Если бы оно только брало, то это было бы еще терпимо. Так оно еще варежку открывает)) > При том что всё что распространяется через эти каталоги сообществом сделано Да ну! Тебе в голову не приходило, что люди, которые пишут либы, и люди, которые их качают, это два практически непересекающихся множества? > и поддерживается. Если бы оно ими поддерживалось, то самой проблемы и данной новости не было бы.
	Ответить | Правка | Наверх | Cообщить модератору

	7. "Проблемы с финансированием каталогов пакетов открытого ПО"	+/–
	Сообщение от Аноним (7), 19-Фев-26, 00:12
	> Ну так пусть сделают возможность сделать официальные зеркала. У нужно будет платить за содержание еще и всех зеркал? Да ты финансовый гения, я посмотрю
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	13. "Проблемы с финансированием каталогов пакетов открытого ПО"	+1 +/–
	Сообщение от Аноним (9), 19-Фев-26, 00:18
	Ну, идея не лишина смысла. Это могут быть разные оганизации. Например если развернуть отдельной зеркало в ЕС или татах, то их могли бы финансировать какие-то местные объединения.
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Проблемы с финансированием каталогов пакетов открытого ПО"	+/–
	Сообщение от Аноним (4), 19-Фев-26, 00:33
	Неправильно перекладывать ответственность на местные объединения. Платить должен тот кто качает пакеты. Принудительно. За каждый скачанный байт.
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Проблемы с финансированием каталогов пакетов открытого ПО"	+/–
	Сообщение от Аноним (17), 19-Фев-26, 00:32
	Вот именно. Да хоть стопитсот неофициальных, ведь проблема решается элементарно криптографически, если у всех официальный самообновляемый клиент со вшитым сертификатом/публичным ключом. Как у Debian, хотя бы. Ведь, я надеюсь, там все пакеты подписаны.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Проблемы с финансированием каталогов пакетов открытого ПО"	+/–
Сообщение от Аноним (2), 18-Фев-26, 23:51
Если девупсы массово научатся хотя бы в ```RUN --mount=type=cache,target=<cachedir>```, то уже от этого объем трафика значительно сократится
Ответить | Правка | Наверх | Cообщить модератору

	6. "Проблемы с финансированием каталогов пакетов открытого ПО"	+/–
	Сообщение от Аноним83 (?), 19-Фев-26, 00:11
	Заставить всех кешировать очень просто: нужно порезать скорость отдачи до каких то весьма неудобных значений, чтобы каждый пакет тянулся хотя бы минут 5-10, даже если он на полтора килобайта.
	Ответить | Правка | Наверх | Cообщить модератору

	8. "Проблемы с финансированием каталогов пакетов открытого ПО"	+1 +/–
	Сообщение от Фонтимос (?), 19-Фев-26, 00:12
	Девупсы лучше пусть донаты почаще отстегивают со своих барышей на инфраструктуру реп.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	10. "Проблемы с финансированием каталогов пакетов открытого ПО"	–1 +/–
	Сообщение от q (ok), 19-Фев-26, 00:15
	Проблема контейнеров в том, что они слоеные и невоспроизводимые. Если изменился нижний слой, иди пересобирай верхние. Решение -- сделать content-addressable storage на уровне отдельных файлов, как в Nix. Тогда бы и трафик экономился, потому что пришлось бы докачивать лишь отдельные файлы, а не the whole fucking layer. Но контейнерам до этого еще чесать и чесать.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Проблемы с финансированием каталогов пакетов открытого ПО"	+/–
Сообщение от Аноним (9), 19-Фев-26, 00:08
Хорошие цифры. Именно поэтому васяны не смогут создавать нечто подобное. Не потому что у них нет денег, а потому что они не захоят их платить.
Ответить | Правка | Наверх | Cообщить модератору

5. "Проблемы с финансированием каталогов пакетов открытого ПО"	+2 +/–
Сообщение от Аноним83 (?), 19-Фев-26, 00:09
Потому что модель подобного ущербная, как и паттерны использования. Дурацкие девляпсы вообще мозг не включают, работают не приходя в сознание: им надо чтобы каждый раз виртуалка с нуля создавалась и каждый раз туда вытягивала всё зависимости. Пограмисты тоже не лучше: наплодили лефтпадов на каждый чих.
Ответить | Правка | Наверх | Cообщить модератору

11. "Проблемы с финансированием каталогов пакетов открытого ПО"	+1 +/–
Сообщение от Аноним83 (?), 19-Фев-26, 00:18
Не было у нас на работе девляпса, зато был статический билдер: заходишь туда по ссш, делаешь git pull, потом git checkout и запускаешь скрипт который собирает всё минуты за 4. Ну да, просто рук не хватало туда билд агента упихать чтобы он там на тачке это сам делал... Пришёл девляпс, сделал всё по красоте: теперь там какая то виртуалка на каждый запрос билда из гуя создаётся с нуля, туда клонируется с нуля репа с исходниками гигабайт на 5, потом доставляются пакеты и потом оно начинает собиратся. Итого минут 10-15 чтобы получить тот же результат. Наверное нормальные девопсы где то есть в природе, просто их безос выкупил и держит на острове и никому не показывает.
Ответить | Правка | Наверх | Cообщить модератору

	15. "Проблемы с финансированием каталогов пакетов открытого ПО"	+/–
	Сообщение от Аноним (15), 19-Фев-26, 00:31
	> заходишь туда по ссш И ты каждому даешь доступо по ссш? > делаешь git pull, потом git checkout Ок, а если кому-то тоже надо, то он просто ждет?)) > репа с исходниками гигабайт на 5 Репа на 5Гб собиралась 4 минуты? Обожаю байки с опеннета))
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Проблемы с финансированием каталогов пакетов открытого ПО"	+/–
	Сообщение от localhostadmin (ok), 19-Фев-26, 00:55
	> И ты каждому даешь доступо по ссш? Его можно дать только тому, кто будет эти комманды выполнять. Или просто создать бесправного пользователя, который будет в сети иметь доступ только к тому, что надо и выполнять только нужные комманды > Репа на 5Гб собиралась 4 минуты? > Обожаю байки с опеннета)) Откуда ты знаешь, что там за репа? Может он написал какой-нибуть жирный сайтик на питоне и сделал ему обвязки на сях или расте? Тогда эти обвязки вполне могут 4 минуты собираться > Ок, а если кому-то тоже надо, то он просто ждет?)) Что ему надо?
	Ответить | Правка | Наверх | Cообщить модератору

	24. "Проблемы с финансированием каталогов пакетов открытого ПО"	+/–
	Сообщение от пох. (?), 19-Фев-26, 01:12
	> И ты каждому даешь доступо по ссш? он еще и собранный ими КОД собирается у себя выполнять, представляешь? > Ок, а если кому-то тоже надо, то он просто ждет?)) у нас операционки - многозадачные. просто собирает свой билд рядом, в чем проблема -то? >> репа с исходниками гигабайт на 5 > Репа на 5Гб собиралась 4 минуты? если из этих гигабайтов 4 никому ненужная история за пятнадцать лет, а оставшийся один это графические элементы, десяток пдфов и два скрипта - действительно, непонятно, чего так долго-то. shallow clone это ж секретная технология с острова Безноса, кто ее узнал - назад дороги нет, только через акулий желудок.
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

14. "Проблемы с финансированием каталогов пакетов открытого ПО"	+/–
Сообщение от Аноним (15), 19-Фев-26, 00:24
Можно просто ввести ограничения. Например обязательная регистрация. Тогда будет видно кто сколько качает. Но это может вызвать подгорание у идейных анонов и прочих шизокакиров. Можно поступить проще. Бесплатный анон - качаешь медленно. Зарегистрировался? Первые N гигабайт быстро, потом медленно. Хочешь всегда быстро? Вот прайс на подписки. Это бы быстро научило всяких девляпсов кешировать скачанное, разворачивать свои локальные хранилища и не наглеть. Хотя последнее мало вероятно.
Ответить | Правка | Наверх | Cообщить модератору

16. Скрыто модератором	+/–
Сообщение от Аноним (16), 19-Фев-26, 00:32
Разве плохо что эти мусорки станут недоступны? Диды на тарболах прорываются, им даже чебурнет непочем.
Ответить | Правка | Наверх | Cообщить модератору

22. "Проблемы с финансированием каталогов пакетов открытого ПО"	+/–
Сообщение от Аноним (22), 19-Фев-26, 00:51
> Crates.io (Rust) этих вообще не надо финансировать
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема