开源注册表没有足够的资金来实施基本安全
Source: Slashdot
背景
Google 和 Microsoft 在 2022 年投入 500 万美元启动 Alpha‑Omega 项目——这是 Linux 基金会旨在保障开源供应链安全的计划。其联合创始人 Michael Winser 在 FOSDEM 上警告称,开源注册表正面临财政危机,因为它们依赖于来自补助金和捐赠的非持续性资金。“问题在于它们没有足够的资金来投入我们迫切需要的安全特性,”他说。
运行注册表的成本估算
在随后的一次 LinkedIn 交流中,Winser 估计运营一个与 crates.io 同规模的主要注册表每年需要 500 万至 800 万美元。Crates.io 每年处理约 1250 亿次下载。此估算未计入大量带宽和基础设施捐赠,例如 Fastly 对 crates.io 的支持。
识别恶意软件的成本日益增长也加重了负担。从 2019 年到 2025 年 1 月,已检测到 845,000 个恶意软件包,绝大多数出现在 npm 上。
带宽和基础设施
一些善意的组织可以承担带宽费用。例如,Python 的 PyPI 注册表在 Fastly 的资助下传输其 70 万多个包(年流量 747 PB,持续速率 189 Gbps)。如果没有这项支持,项目每月需要花费约 180 万美元。
安全资金挑战
Winser 强调,最令人担忧的成本并非带宽或托管,而是确保容器和包完整性所需的安全特性。Alpha‑Omega 为注册表提供了“令人担忧”大量的安全工作资助。如果 Alpha‑Omega 错过一次融资,许多注册表将面临危机。
Alpha‑Omega 的受益者包括:
- Python Software Foundation
- Rust Foundation
- Eclipse Foundation
- OpenJS Foundation(Node.js 与 jQuery)
- Ruby Central
捐赠和会员费帮助分摊成本,志愿者也承担了许多本来会很昂贵的任务。然而,Winser 并未提出具体解决方案,只是建议企业决策者应将付费注册表视为正常运营费用,而不是开源项目办公室的捐赠。
视角
一位匿名 Slashdot 读者概括了这一困境:
“免费啤酒固然好喝,但给酒桶加锁是要花钱的!”