fosdem 2026 オープンソースレジストリは経済的危機に直面しており、オープンソースセキュリティ財団の共同創設者がその帳簿を検査した後、この警告を発した。そして、それらを蝕んでいるのは帯域幅コストだけではない。
「問題は、マルウェアをインストールするという愚かな行為をやめるために必要とされている非常にセキュリティ機能に費やすだけの十分なお金を持っていないということです」と、Alpha-Omegaの共同創設者であるマイケル・ウィンサー氏は述べました。Alpha-Omegaはオープンソースサプライチェーンの保護を支援するLinux Foundationプロジェクトです。
ウィンサー氏は今年FOSDEMで講演し、その講演に仮想的に参加しました。
信頼できるレジストリは、ソフトウェア部品表(SBOM)駆動のサプライチェーンセキュリティ取り組みの重要なコンポーネントとして広く扱われています。これはオープンソースソフトウェアを保護するために推進されている主要なアプローチの1つです。ルール1:信頼できるソースからオープンソースパッケージを取得します。
しかし、これらのレジストリの多くは非常に薄い利幅で運営されており、助成金、寄付、および現物リソースからの非継続的な資金に依存しています。
GoogleとMicrosoftは2022年にOpen Source Security Foundationの下でAlpha-Omegaを立ち上げるために初期500万ドルを投入しました。
ウィンサー氏が業務を開始する際に最初に気づいたのは、オープンソースレジストリはすべて極めて貧困状態にあるということでした。主要なレジストリはすべて同じ問題に直面しています。インフラストラクチャと人員への投資は横ばいであるにもかかわらず、指数関数的な成長を経験しています。
「私たちは借りた時間で生きています」と彼は警告しました。
セキュリティのための乏しい資金
「人々が持っている問題の1つは、彼らが実際にオープンソースソフトウェアとオープンソースインフラストラクチャを混同しているということです」とウィンサー氏は述べました。
オープンソースソフトウェア自体は無料で使用できますが、より多くの人がそれを使用しても、そのコストは増加しません。しかし、すべてのオープンソースアプリケーションとライブラリを保有するレジストリのコストは、確かに使用量の増加とともに増加し続けます。
パッケージは消えません。コレクションはますます大きくなっていきます。そして、AIは現在かなりのペースでパイルに追加されています。
2025年、Alpha-Omegaは、PyPI、Node.jsのnpm、RustのCrates.io、RubyGems、Javaの人々のためのMaven Centralを含む、最大のレジストリの一部の操作について詳細な調査を実施しました。
ウィンサー氏はFamily Feudのモック版を用意しました(ここでプレイ)これらのレジストリの10の最大の支出を推測するのに役立つFOSDEMers用です。
帯域幅は当然ながら#1コストであることが判明しました。総支出の約25%です。ストレージ(18%)、計算(15%)、マルウェア対策(12%)がすべて続きました。新機能開発はわずか2%で登録され、ドキュメントはトップ10にさえありませんでした。
ウィンサー氏は、年間約2億4000万ダウンロードを取得するCrates.ioのサイズのレジストリを実行するには、才能に100万ドル、インフラストラクチャに200万ドルかかると推定しました。そのコストは2030年までに倍になる可能性があります。
その請求に追加されるのは、マルウェア識別の費用の増加です。その増殖はAIとスクリプトの使用により増幅されています。これらのリポジトリは2019年から2025年1月まで845,000のマルウェアパッケージを検出しました(これらの厄介なパッケージの大多数はnpmにもたらされました)。
悪質なパッケージを削除するのに現在中央値で39時間かかります。これは、9月にnpmを通じてShai-Huludの発生がしたように、自己複製ワームがエコシステムを通じて広がるのに十分な時間以上です。
そのバッグを保護する
良いニュースは「レジストリは有効な独占企業です。彼らは名前空間を所有しています」ということかもしれません、とウィンサー氏は述べました。
しかし、独占企業として、「代替の粗悪なレジストリをスピンアップするコストは実質的にゼロです」と彼は付け加えました。
ウィンサー氏は経費をカバーするさまざまな方法を説明しましたが、彼が計算したところ、どれも経費を完全に相殺することはできませんでした。
明らかな解決策は帯域幅の請求を開始することでしょう。キャッシングとミラーリングは帯域幅コストを低下させますが、問題を解決しません。レジストリが請求を開始するとすぐに、他の団体はアーティファクトをキャッシュし、無料で提供する可能性があります。
そしてウィンサー氏は注目しました。彼らはレジストリの利益のためにこれを実行すべきです。「キャッシングしていなければ、あなたは馬鹿です」とウィンサー氏は述べました。
場合によっては、慈悲深いパーティがこれらの請求をカバーすることができます。例えば、PythonのPyPIレジストリの帯域幅のニーズは、700,000以上のパッケージのコピーを出荷するために(年間747PBに相当し、189Gbpsの持続レートで)Fastlyが引き受けています。そうしないと、プロジェクトは月に約180万ドルを支払う必要があります。
しかし、ウィンサー氏が最も懸念していたコストは帯域幅またはホスティングではなく、コンテナとパッケージの整合性を確保するために必要なセキュリティ機能です。
Alpha-Omegaはレジストリの周りのセキュリティ作業の「苦々しくも」大量を引き受けていると彼は述べました。Alpha-Omega自体が資金調達ラウンドを逃した場合、多くのレジストリは困ると思うので、それは苦々しいことです。
寄付とメンバーシップは確かにコストを相殺するのに役立ちます。ボランティアは、そうでなければ非常に高額な仕事の多くをします。そして助成金があります。
ウィンサー氏は請求を支払うための他の方法を説明しました。アプリストアを実行するのはどうですか?パッケージあたり0.99ドルを請求するのは非常に妥当に見えませんか?
しかし、このアプローチはいくつかの直接的な課題に直面しています。まず、パッケージメンテナーはそれを削減したいと思うでしょう。支払いインフラストラクチャの設定と保守は追加費用が発生します。
さらに、オープンソース開発者はおそらくどんな形式のデジタル著作権管理にも同意しないでしょう。したがって、彼らがダウンロードするコンテナはencumberedされず、簡単にコピーできます。
独占をマネタイズしようとする試みはすぐに人々がそれを迂回するという結果になります。「彼らはこれを何度も何度も繰り返してきました」とウィンサー氏は述べました。
最初に戻ります。
ウィンサー氏の見方では、同じ問題がサブスクリプションモデルに適用されるでしょう。1人がレジストリにサブスクリプションを購入してから、ストリーミングアカウントと同じようにログインを友人と共有します。
オープンソースソフトウェアの生産者に請求するのはどうですか?実質的に、レジストリは出版社になります。これはウィンサー氏が論じたように、多くのプロジェクトまたはオープンソースプロジェクトを持つ企業が彼ら自身のレジストリサイトを設定させ、コミュニティを断片化します。そして誰が彼らのセキュリティ姿勢がどうなるか知っていますか。
別のアプローチ:エンタープライズ機能を追加してから、それらに請求します。これはGitHubなどのサービスプロバイダーのために機能しているため、レジストリでも機能する可能性があります。
それでも、企業は確かにエンタープライズレジストリのためにおしゃべりをしていません、とウィンサー氏は述べました。そして、彼らがセキュリティ機能に費やしたいなら、それはおそらくセキュリティベンダーを通じて行われるでしょう。
「誰かがより良いアイデアを持っていますか?」ウィンサー氏は修辞的に群衆に尋ねました。1人の観客がadを提案しました。
ウィンサー氏は解決策を提供しませんでしたが、鍵は企業の豆カウンターを説得して有料レジストリを「ビジネスの通常のコスト」と見なすことであり、「それらの[オープンソースプログラムオフィス]寄付予算ではなく彼らのopexに表示される」と提案しました。
「私は答えを持っていません」と彼は認めました。
無料ビールのコスト
お金はオープンソースについてめったに議論されない側面です。ソフトウェアは単に無料ビールのようであると思われています、そうですか?
病院、大学、および美術館はすべて非営利団体ですが、それでもサービスの料金を請求しています。実際、それは良い慣行です。そうしないと、人々はシステムを乱用します。しかし、オープンソースでは、支払いのアイデアは依然としてタブーです。
オープンソースは確かに無料ビールのようかもしれませんが、誰も寄生虫とバクテリアで詰まった泡立つラガーを楽しむものではありません。だから多分私たちは皆バーで支払うことに慣れるべきです。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/16/open_source_registries_fund_security/
