
ZDNET을 팔로우하세요: 우리를 선호 소스로 추가하세요 Google에서.
ZDNET의 주요 시사점
- 오픈 소스 리포지토리는 연간 10조 건의 다운로드로 인해 붕괴되고 있습니다.
- 이 문제를 해결하기 위해 모든 주요 저장소가 함께 참여하고 있습니다.
- 자금 부족이 문제의 주요 부분이기는 하지만 해결해야 할 다른 문제도 있습니다.
세상은 오픈 소스 소프트웨어로 운영됩니다. 우리 모두는 그것을 알고 있습니다. 하지만 기업들이 매년 10조 개(T는 1조 개)가 넘는 오픈 소스 코드 파일을 다운로드한다는 사실을 알고 계셨습니까? 소프트웨어 보안 제공업체인 Sonatype에 따르면, 해당 코드를 제공하는 파일 저장소 사이트는 수요가 부족하다고 합니다.
Maven Central Java 레지스트리를 감독하는 Sonatype CTO Brian Fox가 올해 초 나에게 말했듯이 Maven은 지속적인 다운로드로 인해 압도당할 위험이 있습니다. Fox와 회사는 수요의 82%가 단 1%의 IP에서 나온다는 사실을 발견했습니다. 기업들이 마치 CDN(콘텐츠 전송 네트워크)인 것처럼 오픈 소스 저장소를 사용하고 있기 때문입니다.
또한: IT 리더의 98%가 디지털 주권을 원합니다. 이제 SUSE는 모든 기업을 위해 이를 운영하고 있습니다.
예를 들어, 단일 회사는 하루에 수십만 번, 그 다음 날, 그 다음 날에도 동일한 코드를 다운로드할 수 있습니다. 비영리 오픈 소스 코드 저장소는 무엇을 합니까?
우리는 공급망 탄력성 위험에 직면해 있습니다
그들을 운영하는 사람들은 마침내 “이것은 영원히 자선 단체로 남을 수 없다”고 집합적으로 말하고 있습니다. 이제 Linux Foundation 산하의 새로운 Sustaining Package Registries Working Group은 다운로드 수가 증가함에 따라 코드 흐름을 유지하기 위한 구체적인 자금 조달, 거버넌스 및 보안 관행을 식별하기 위해 노력할 것입니다.
모든 것은 스케일링 문제로 시작되었습니다. 지난 몇 년 동안 공개 패키지 레지스트리 전반의 소비 및 게시가 미친 수준으로 증가했습니다. 그 10조 다운로드? 이는 Google의 연간 검색어의 두 배에 달하는 수치이며, Google과 달리 오픈 소스 사이트는 아주 적은 비용으로 이를 수행하고 있습니다.
문제는 다음과 같습니다. 소프트웨어 빌드, 지속적인 통합 파이프라인 및 AI 시스템이 인간의 속도가 아닌 기계의 속도로 레지스트리를 망치기 때문에 사이트가 따라잡을 수 없습니다. 이러한 성장으로 인해 봇 트래픽, 자동 게시, 보안 보고서 및 노골적인 남용이 급증하여 실무 그룹에서 직설적으로 “지속 가능성 격차”라고 부르는 현상이 드러났습니다. 즉, 우리는 이제 단순한 호스팅 비용이 아닌 공급망 탄력성 위험에 직면해 있습니다.
또한: Linux 커널의 AI 지원 코드에 대한 새로운 규칙: 모든 개발자가 알아야 할 사항
Fox가 설명했듯이 “오픈 소스 레지스트리는 더 이상 수동적 배포 지점이 아닙니다. 거의 모든 최신 소프트웨어 빌드 경로에 있는 운영 및 보안에 중요한 시스템입니다. 소프트웨어 공급망이 탄력성을 유지하려면 이러한 플랫폼이 글로벌 규모로 어떻게 자금을 조달하고 관리하고 유지하는지에 대한 진지한 대화가 필요합니다. 이제 레지스트리 지속 가능성을 소프트웨어 산업 전반의 공유 책임으로 처리해야 할 때입니다.”
레지스트리 사이트는 다운로드 미러 그 이상입니다.
그 말이 맞아요. 오픈 소스 레지스트리 사이트는 더 이상 단순한 다운로드 미러가 아닙니다. 이는 거의 모든 최신 소프트웨어 빌드 경로에 직접적으로 위치하는 보안이 중요한 시스템입니다. 비용, 소진 또는 성공적인 공격으로 인해 중앙 레지스트리 중 하나가 흔들리면 폭발 반경은 오픈 소스 커뮤니티를 넘어 은행, 병원, 클라우드 및 코드 종속성이 어디에서 오는지 거의 생각하지 않는 정부로 확장됩니다.
오픈 소스 보안 재단(OpenSSF)의 CTO이자 수석 보안 설계자인 Christopher Robinson은 “패키지 레지스트리는 소프트웨어 공급망 보안과 복원력의 최전선에 있습니다. 소비, 게시, 공격 활동의 속도가 빨라짐에 따라 이러한 시스템을 뒷받침하는 관리 역할도 발전해야 합니다. 이 이니셔티브는 레지스트리 리더와 생태계 이해관계자가 최신 소프트웨어가 기반으로 하는 인프라를 유지하기 위한 실용적이고 커뮤니티 지향적인 방식에 맞춰 조정하는 중요한 장소가 될 것입니다.”라고 덧붙였습니다.
또한: Microsoft는 마침내 DOS 1.0 소스를 공개했습니다. 이는 코드 그 이상입니다.
Fox는 “이것은 어떤 레지스트리보다 크다”고 말했습니다. “Maven Central에서 운영 현실로 시작된 것은 더 이상 Maven Central 이야기로 가장 잘 이해되지 않습니다. 동일한 패턴이 생태계 전체에 나타나고 있습니다. 더 많은 기계 트래픽, 더 많은 자동화, 더 많은 검색. 가동 시간, 무결성, 출처 및 정책 시행에 대한 더 많은 기대치. 더 많은 비용, 더 많은 지원 부담. 마치 선의와 여가 시간에 운영되는 것처럼 업계에서 여전히 이야기하는 인프라에 대한 더 많은 의존도.” 스포일러 경고: 그렇지 않습니다.
이 문제를 해결하기 위해 Sonatype은 Linux Foundation 및 Alpha-Omega, Eclipse Foundation(OpenVSX), OpenJS Foundation, OpenSSF, Packagist, Python Software Foundation, Ruby Central(RubyGems) 및 Rust Foundation(Crates)을 포함한 기타 패키지 레지스트리 리더와 협력했습니다. 아이디어는 운영자에게 돈, 거버넌스 및 공유 운영 부담을 공개적으로 논의할 수 있는 중립적인 포럼을 제공하는 것입니다. 이 문제가 해결되면 오랫동안 레지스트리가 “무료”라고 가정해 온 회사와 조직에 이러한 현실을 설명하는 방법을 조정할 것입니다. 아니요, 그렇지 않습니다. 결코 그렇지 않았습니다.
Linux Foundation이 지적했듯이 “오늘날 레지스트리는 주로 (1) 인프라 기부 및 크레딧, (2) 소규모 유급 팀(자체 기부 및 보조금으로 자금 조달)과 레지스트리 서비스를 운영 및 유지 관리하는 무급 자원봉사자의 영웅적인 노력이라는 두 가지로 운영됩니다. 대부분의 기부 및 보조금은 소수의 기부자로부터 나오며 레지스트리에 대한 수요에 맞춰 확장되지 않습니다.”
저장소에는 현금 이상의 것이 필요합니다
실무 그룹은 각 운영자가 독립적으로 자체 생존 계획을 수립하는 대신 레지스트리 리더와 생태계 이해관계자가 해당 인프라를 유지하기 위한 “실용적이고 커뮤니티 중심의” 방식으로 조정할 수 있는 장소로 명시적으로 자리잡고 있습니다.
오픈 소스 저장소는 수요를 충족하기 위해 더 많은 현금이 절실히 필요하지만 이는 단지 돈에 관한 것이 아닙니다. 다른 많은 요구 사항을 해결해야 합니다. 이것들은 다음과 같습니다:
또한: AI가 어떻게 갑자기 오픈 소스 개발자에게 훨씬 더 유용해졌는가?
- 경제적 지속가능성: 영웅적인 자원 봉사 활동과 몇 가지 기업 로고에 의존하는 대신 실제로 인프라, 운영, 유지 관리 담당자 및 거버넌스를 포괄할 수 있는 자금 조달 모델을 개발하십시오.
- 집단 방어: 공격자가 자체 활동을 자동화하고 확장함에 따라 위협을 더 빠르게 감지하고 대응할 수 있도록 레지스트리 전체에서 보안 관행과 정보 공유를 조정합니다.
- 거버넌스 활성화: 커뮤니티를 분열시키지 않고 지속 가능한 자금 조달 모델을 도입하는 것이 정치적, 법적으로 가능하도록 공유 정책 프레임워크와 표준화된 용어를 만듭니다.
- 생태계 교육 및 투명성: 개발자, 회사 및 정책 입안자가 이러한 서비스를 실행하는 데 드는 비용과 “영원한 무료 다운로드”가 결코 현실적인 계획이 아닌 이유를 최종적으로 이해할 수 있도록 메시징 및 교육 콘텐츠를 조정합니다.
일부 그룹은 이미 이러한 문제를 다루고 있지만 모든 그룹에 대한 정책과 인력을 갖춘 그룹은 없습니다. 함께 협력함으로써 모든 사람이 바퀴를 다시 만들 필요 없이 모든 저장소에서 사용할 수 있는 프레임워크를 개발할 수 있기를 바랍니다.
또한: 저는 새로운 Linux Mint 22.3을 사용해 보았습니다. 이는 세련되고 삶의 질을 향상시키는 수정의 마스터 클래스입니다.
오픈 소스 리포지토리 지원은 소프트웨어 비즈니스에 종사하는 모든 사람에게 중요한 문제가 되었습니다. 그러나 최근까지는 눈에 띄지 않았습니다. 우리는 더 이상 자원봉사자들이 오픈 소스 코드 라이브러리의 문을 열어둘 것이라고 가정할 여유가 없습니다. 이러한 사이트는 우리의 지원을 받아야 합니다. 그렇지 않으면 우리 회사가 계속 운영하는 데 필요한 프로그램을 개발, 구축 및 실행하는 데 어려움을 겪게 될 것입니다.
공식 정보 바로가기