Open Source Registries는 기본 보안을 구현할 충분한 자금이 없습니다
Source: Slashdot
배경
Google과 Microsoft는 2022년에 Alpha‑Omega를 시작하기 위해 500만 달러를 지원했습니다 — 이는 오픈 소스 공급망 보안을 목표로 하는 Linux Foundation 프로젝트입니다. 공동 설립자인 Michael Winser는 FOSDEM에서 오픈 소스 레지스트리가 비연속적인 보조금과 기부금에 의존하고 있기 때문에 재정적 위기에 처해 있다고 경고했습니다. “문제는 우리가 간절히 필요로 하는 보안 기능에 쓸 충분한 돈이 없다는 것입니다,”라고 그는 말했습니다.
레지스트리 운영 비용 추정
LinkedIn에서 이어진 대화에서 Winser는 crates.io와 같은 대형 레지스트리를 운영하는 데 연간 500만 달러에서 800만 달러가 든다고 추정했습니다. Crates.io는 연간 약 1,250억 건의 다운로드를 처리합니다. 이 추정치는 Fastly가 crates.io에 제공하는 지원과 같은 대규모 대역폭 및 인프라 기부를 제외한 것입니다.
악성코드 식별 비용이 증가하면서 부담도 커지고 있습니다. 2019년부터 2025년 1월까지, 저장소에서 845,000개의 악성 패키지가 탐지되었으며, 그 대부분은 npm에서 나타났습니다.
대역폭 및 인프라
일부 자비가 되는 단체가 대역폭 비용을 부담할 수 있습니다. 예를 들어, Python의 PyPI 레지스트리는 70만 개가 넘는 패키지(연간 747 PB, 지속 속도 189 Gbps)를 Fastly가 대역폭을 지원해 제공하고 있습니다. 이 지원이 없었다면 프로젝트는 월 약 180만 달러를 지출해야 했을 것입니다.
보안 자금 조달 문제
Winser는 가장 우려되는 비용은 대역폭이나 호스팅이 아니라 컨테이너와 패키지의 무결성을 보장하기 위해 필요한 보안 기능이라고 강조했습니다. Alpha‑Omega는 레지스트리를 위한 “심각하게” 많은 보안 작업을 지원합니다. Alpha‑Omega가 자금 조달 라운드를 놓치면 많은 레지스트리가 위험에 처하게 됩니다.
Alpha‑Omega의 수혜자는 다음과 같습니다:
- Python Software Foundation
- Rust Foundation
- Eclipse Foundation
- OpenJS Foundation (Node.js 및 jQuery)
- Ruby Central
기부와 회원제는 비용을 일부 경감시키고, 자원봉사자들이 그렇지 않으면 비쌀 작업들을 수행합니다. 그러나 Winser는 구체적인 해결책을 제시하지 않았으며, 기업 의사결정자들이 오픈 소스 프로그램 사무국의 기부가 아니라 유료 레지스트리를 정상적인 운영 비용으로 취급해야 한다고 제안했습니다.
관점
익명의 Slashdot 독자는 이 딜레마를 다음과 같이 요약했습니다:
“무료 맥주는 좋지만, 케그를 안전하게 만들려면 돈이 듭니다!”