Open Source Registries, Linux Foundation Working Group에 합류하여 Machine-Generated Traffic 문제 해결
Source: Slashdot
배경
비영리 단체인 Linux Foundation 산하에 새로 설립된 Sustaining Package Registries Working Group은 구체적인 자금 조달, 거버넌스, 보안 관행을 식별하고자 하며 — ZDNet이 보도한 바와 같다. 이 그룹은 다운로드 수가 증가함에 따라 코드 흐름을 지속하려는 목표를 가지고 있다. 소프트웨어 빌드, 지속적 통합 파이프라인, AI 시스템이 인간 속도가 아닌 기계 속도로 레지스트리를 급격히 이용하고 있기 때문에 사이트가 따라가지 못하고 있다. 이러한 성장으로 봇 트래픽, 자동화된 퍼블리싱, 보안 보고서, 그리고 명백한 남용이 급증했으며, 작업 그룹은 이를 “지속 가능성 격차”라고 부른다.
문제 규모
Maven Central Java 레지스트리를 담당하고 있는 Sonatype CTO Brian Fox는 오픈소스 레지스트리의 2025년 다운로드 수가 10 조 건에 달했다고 추정한다. 그는 동일한 패턴이 여러 생태계에 나타나고 있다고 언급한다: 더 많은 기계 트래픽, 더 많은 자동화, 더 많은 스캔, 가동 시간, 무결성, 출처, 정책 집행에 대한 기대치가 높아지면서 비용, 지원 부담, 그리고 종종 선의와 여유 시간에 의존하는 인프라에 대한 의존도가 증가하고 있다.
참여자
ZDNet에 따르면 Sonatype는 Linux Foundation 및 다음과 같은 패키지 레지스트리 리더들과 협력하고 있다:
- Alpha‑Omega
- Eclipse Foundation (OpenVSX)
- OpenJS Foundation
- OpenSSF
- Packagist
- Python Software Foundation
- Ruby Central (RubyGems)
- Rust Foundation (Crates)
작업 그룹의 목표
작업 그룹은 레지스트리 운영자들이 중립적인 포럼에서 논의할 수 있도록 설계되었다:
- 자금 조달 – 구체적이고 지속 가능한 재정 모델.
- 거버넌스 – 공유 의사결정 구조.
- 보안 관행 – 협조적인 정보 공유 및 프레임워크.
추가 목표:
- 개발자, 기업, 정책 입안자들이 이러한 서비스 운영에 드는 실제 비용을 이해하도록 메시지와 교육 콘텐츠를 일치시킨다.
- 커뮤니티를 분열시키지 않으면서 지속 가능한 자금 모델을 도입할 수 있도록 정치적·법적 기반을 마련한다.
현재 지속 가능성 모델
Linux Foundation에 따르면 현재 레지스트리는 주로 다음에 의존한다:
- 인프라 기부 및 크레딧.
- 소규모 유급 팀(기부와 보조금으로 운영)과 무보수 자원봉사자의 헌신적인 노력.
기부와 보조금의 대부분은 소수의 기부자에게서 나오며, 레지스트리 수요가 증가함에 따라 규모를 확장하지 못하고 있다.
기대되는 결과
작업 그룹은 다음을 목표로 한다:
- 보안 관행을 조정한다.
- 지속 가능한 자금 조달 메커니즘을 개발한다.
- 레지스트리가 “무료”가 아니라는 사실을 이해하도록 개발자, 기업, 정책 입안자 등 이해관계자들에게 통합된 목소리를 제공한다.
실용적이고 커뮤니티 중심의 접근 방식을 맞추어 각 운영자가 고립된 상태에서 자체 생존 계획을 즉흥적으로 세우는 일을 방지하고자 한다.