10 триллионов загрузок в год перегружают публичные пакетные регистры — создана рабочая группа для их поддержки

По оценке Sonatype, публичные регистры пакетов принимают около 10 триллионов загрузок в год; рост машинного трафика и «разрыв устойчивости» вынуждают индустрию искать модели финансирования и управления для их поддержки.

Публичные пакетные регистры столкнулись с беспрецедентной нагрузкой: Sonatype оценивает объём скачиваний примерно в 10 триллионов файлов в год, и операторы реестров отмечают признаки «выгорания» инфраструктуры и команд, которые их поддерживают. Рост трафика поставил под вопрос жизнеспособность долгосрочной бесплатной модели, на которой многие реестры работали до сих пор. СТО Sonatype Брайан Фокс, курирующий работу с реестром Maven Central, приводит шокирующие цифры: 82% запросов генерируют лишь 1% IP‑адресов. Многие организации фактически используют публичные регистры как CDN, многократно скачивая одни и те же артефакты — порой по нескольку сотен тысяч раз в день. Автоматизированные билды и непрерывная интеграция дополнительно усиливают нагрузку и делают трафик преимущественно «машинным».

Одновременно с ростом легитимного машинного трафика увеличились бот‑атаки, случаи автоматической публикации пакетов и количество инцидентов безопасности. Эти факторы индустрия описывает как «разрыв устойчивости»: регистрационные сервисы испытывают давление, тогда как их бюджеты остаются «скромными», что создаёт риск для цепочки поставок ПО. Под руководством Linux Foundation создана новая группа Sustaining Package Registries Working Group, задача которой — разработать практические рекомендации по финансированию, управлению и обеспечению безопасности публичных регистров. Участники планируют определить жизнеспособные модели устойчивого финансирования и управленческие решения, которые дадут реестрам предсказуемость и ресурсы для масштабирования.

Масштаб проблемы подчёркивается сравнениями: объём загрузок в публичных реестрах примерно вдвое превышает годовые поисковые запросы Google, при этом реестры продолжают работать на ограниченных ресурсах и без единой модели поддержки. Рост машинного трафика и увеличение числа инцидентов воспринимаются как прямой риск для поддержки целостности и доступности артефактов, от которых зависят многие проекты. Для разработчиков и операторов это означает, что пакетные регистры перестали быть просто зеркалами и превратились в критическую инфраструктуру сборки. В случае отказа или компрометации центральных реестров пострадают банки, медицинские учреждения, облачные сервисы и государственные системы. Кристофер Робинсон из OpenSSF подчёркивает, что регистры находятся на передовой обеспечения безопасности цепочки поставок, и индустрия должна принять совместную ответственность за их поддержку.